🦠Реагирование и стратегии защиты от CVE-2026-33634 Как сообщают специалисты 💚 «ЛК», существующие сигнатурные проверки и сканирование зависимостей в публичных реестрах больше не являются достаточными, так как вредоносный код был внедрен напрямую в доверенные подписанные действия и ускользнул от обнаружения, пока не был применен поведенческий мониторинг. CI/CD-конвейеры стали «новым периметром» безопасности. Немедленные действия. Убедитесь, что все рабочие процессы используют безопасные версии (Trivy binary 0.69.3, trivy-action 0.35.0, setup-trivy 0.2.6). Администраторы конвейеров CI/CD и команды ИБ должны немедленно проверить свои ссылки на решения Checkmarx (kics-github-action, ast-github-action) и Trivy (setup-trivy и trivy-action). Если ваши рабочие процессы ссылались на тег версии, а не на конкретный SHA-хеш, тщательно проверьте ваши журналы исполнения рабочих процессов в период уязвимости. Также необходимо проверить сетевые журналы на наличие трафика к доменам scan.aquasecurtiy[.]org, checkmarx[.]zone и models.litellm[.]cloud. Его наличие свидетельствует об успешной эксфильтрации конфиденциальных данных. Если в вашей организации на GitHub появился репозиторий с именем docs-tpcp, это также может указывать на успешную кражу данных. В любом случае необходимо провести проактивный поиск угроз (threat hunting), предполагая успешную компрометацию и быстрое продвижение злоумышленников в затронутых системах. Рекомендовано восстановить затронутые окружения из проверенных архивов. Фиксация зависимостей и управление секретами. Убедитесь, что точные версии зависимостей закреплены с помощью криптографических хешей во всех конвейерах и Dockerfile. Переходите от долгоживущих токенов к краткосрочным учетным данным, используя для этого менеджер секретов, а также применяя интеграции OIDC там, где это поддерживается. Минимизируйте инъектирование секретов в окружение запущенных процессов — делайте это только с необходимыми секретами. Убедитесь, что секреты не сохраняются на диск и во временные файлы, а также не используются повторно в различных процессах. Другие меры защиты. Разрешайте запуск GitHub Actions только из закрытого списка, одобренного в организации, блокируйте новые и непроверенные процессы. Настройте GITHUB_TOKEN и другие ключи доступа с соблюдением принципа наименьших привилегий. Не давайте разрешений на запись, если в этом нет прямой необходимости. Для повышения безопасности GitHub Actions существует несколько инструментов с открытым исходным кодом: ▪️zizmor — инструмент статического анализа и поиска ошибок конфигурации в GitHub Actions; ▪️gato и Gato-X — две версии инструмента, помогающего выявлять структурно уязвимые конвейеры; ▪️allstar — приложение GitHub, разработанное OpenSSF для настройки и внедрения политик безопасности в организациях и репозиториях GitHub. ⬇️ Подробный разбор атаки через цепочку поставок Trivy и LiteLLM в блоге ЛК. ✋ @Russian_OSINT