L’attacco a cascata della catena di approvvigionamento che Inizialmente mirato a Coinbase Prima di diventare più diffuso per individuare gli utenti dell’azione GitHub “TJ-Actions/Change-Recordsdata” è stata rintracciata ulteriormente nel furto di un token di accesso personale (Pat) correlato a Spotbugs.
“Gli aggressori hanno ottenuto l’accesso iniziale sfruttando il flusso di lavoro delle azioni GitHub di Spotbugs, un popolare strumento open supply per l’analisi statica dei bug nel codice”, Palo Alto Networks Unit 42 disse In un aggiornamento di questa settimana. “Ciò ha permesso agli aggressori di spostarsi lateralmente tra i repository di Spotbugs, fino a ottenere l’accesso a ReviewDog.”
Vi sono show che suggeriscono che l’attività dannosa è iniziata fino a novembre 2024, sebbene l’attacco contro Coinbase non abbia avuto luogo fino a marzo 2025.
L’unità 42 ha affermato che la sua indagine è iniziata con la consapevolezza che l’azione GitHub di ReviewDog è stata compromessa a causa di una pat trapelata associata al manutentore del progetto, che ha successivamente permesso agli attori delle minacce di spingere una versione canaglia di “revisione/azione-set-setup” che, a sua volta, è stato raccolto da “TJ-Actions-Actions-Recordsdata” a causa della sua elencata come dipendenza tramite il “TJ-Actions-Chang”.
Da allora è stato scoperto che il manutentore period anche un partecipante attivo a un altro progetto open supply chiamato Spotbugs.
Si cube che gli aggressori abbiano spinto un file di flusso di lavoro GitHub malizioso nel repository “spotbugs/spotbugs” sotto il nome utente usa e getta “JurkaoFavak”, causando la perdita di PAT del manutentore quando il flusso di lavoro è stato eseguito.
Si ritiene che lo stesso Pat abbia facilitato l’accesso a “Spotbugs/Spotbugs” e “ReviewDog/Motion-Setup”, il che significa che la PAT trapelata potrebbe essere abusato per avvelenare “Reviewdog/Motion-Setup”.
“L’attaccante aveva in qualche modo un account con autorizzazione di scrittura in spotbugs/spotbugs, che erano in grado di utilizzare per spingere una filiale nel repository e accedere ai segreti CI”, ha detto l’unità 42.
Per quanto riguarda il modo in cui sono state ottenute le autorizzazioni di scrittura, è venuto alla luce che l’utente dietro il commit dannoso per Spotbugs, “JurkaoFavak”, è stato invitato al repository come membro da uno dei manutentori del progetto stesso l’11 marzo 2025.
In altre parole, gli aggressori sono riusciti a ottenere la PAT del repository di Spotbugs per invitare “JurkaoFavak” a diventare un membro. Questo, ha affermato la società di sicurezza informatica, è stata eseguita creando una forchetta del repository “Spotbugs/Sonar-Findbugs” e creando una richiesta pull sotto il nome utente “Randolzfow”.
“Il 2024-11-28T09: 45: 13 UTC, (il manutentore di Spotbugs) ha modificato uno dei flussi di lavoro” Spotbugs/Sonar-Findbugs per usare la propria PAT, poiché avevano difficoltà tecniche in una parte del loro processo CI/CD “, ha spiegato l’Unità 42.
“Il 2024-12-06 02:39:00 UTC, l’attaccante ha presentato un Richiesta di pull maliziosa a Spotbugs/Sonar-Findbugs, che ha sfruttato un flusso di lavoro delle azioni GitHub che utilizzava il pull_request_target grilletto.”
Il set off “pull_request_target” è un set off di flusso di lavoro di GitHub che consente ai flussi di lavoro che vanno dalle forcelle per accedere ai segreti – in questo caso, il PAT – che porta a quello che viene chiamato un attacco di esecuzione della pipeline avvelenata (PPE).
Da allora il manutentore di Spotbugs ha confermato che la PAT utilizzata come segreta nel flusso di lavoro period lo stesso token di accesso che è stato successivamente utilizzato per invitare “JurkaoFavak” al repository “Spotbugs/Spotbugs”. Il manutentore ha anche ruotato tutti i loro token e pat per revocare e prevenire un ulteriore accesso da parte degli aggressori.
Uno sconosciuto in tutto ciò è il divario di tre mesi tra quando gli aggressori hanno fatto trapelare la pacca di manutenzione di Spotbugs e quando lo hanno abusato. Si sospetta che gli aggressori stessero tenendo d’occhio i progetti che dipendevano da “TJ-Actions/Mambiate-Recordsdata” e hanno aspettato di colpire un bersaglio di alto valore come Coinbase.
“Avendo investito mesi di sforzi e dopo aver raggiunto così tanto, perché gli aggressori hanno stampato i segreti ai tronchi e, nel farlo, hanno anche rivelato il loro attacco?” Ponifondevano i ricercatori dell’unità 42.
