云端安全公司Wiz披露多起安全事件，指出攻击者瞄准开发者在GitHub上的个人访问令牌（PAT），并利用GitHub Actions中的机密凭据获取云账户权限，导致代码库中的令牌泄露升级为企业云端环境的安全事故。

研究人员发现，此次分析的多起攻击案例，大多始于获取一组具有普通开发权限的PAT。攻击者利用该令牌调用GitHub的代码搜索功能，在组织内部检索工作流文件，并通过工作流中调用Secrets的语法推断出正在使用的Actions Secrets名称。Wiz统计显示，约73%使用GitHub Actions Secrets的企业会在其中存储云端服务凭据，这一步侦察直接关联到云端环境的安全。

在掌握Secrets名称且PAT具备写入权限时，攻击者会修改或新增GitHub Actions工作流，使恶意代码在Runner上执行并使用这些机密凭据。尽管GitHub会在工作流日志中自动屏蔽Secrets内容，但研究人员指出，现实中已有攻击者通过编码混淆或向外部服务转发等方式绕过保护，获取可直接用于云端服务的密钥，甚至在云端控制平面内创建新的访问凭据，作为长期后门。

当攻击者掌握云端凭据后，便可脱离GitHub，进入企业云端控制平面进行横向移动。Wiz数据显示，约45%的组织在私有代码库中以明文形式存储云端密钥，而公开仓库中仅约8%，表明企业过度信任私有仓库，一旦开发者的PAT被盗，这些机密就可能成为入侵入口。

研究人员指出，目前GitHub Enterprise的审计日志不会记录代码搜索API的调用行为，且具有写入权限的PAT还能删除工作流和执行记录。如果企业未将相关日志实时同步至集中式审计或事件平台，事后往往难以完整还原攻击时间线与影响范围。

为尽早发现此类从代码出发、最终攻击云端控制平面的行为，研究人员建议组织应审查PAT的权限范围与有效期，清点并减少存放在GitHub Actions及代码库中的云端凭据，同时启用GitHub Enterprise审计日志与IP追踪功能，并将这些日志实时同步至集中式审计或事件平台进行长期留存。