El ataque de la prisión de suministro en cascada que inicialmente se dirigió a Coinbase antiguamente de quedarse más extendido para destacar a los usuarios de la actividad de GitHub “TJ-Actions/Cambied-Files” se ha rastreado más detrás con el robo de un token de llegada personal (PAT) relacionado con las casquillas de puntos.
“Los atacantes obtuvieron el llegada original aprovechando el flujo de trabajo de las acciones de GitHub de Spotbugs, una utensilio popular de código hendido para el estudio paralizado de errores en código”, dijo la dispositivo 42 de Palo Stop Networks en una puesta al día esta semana. “Esto permitió a los atacantes moverse lateralmente entre repositorios de Spotbugs, hasta obtener llegada a ReviewDog”.
Hay evidencia que sugiere que la actividad maliciosa comenzó desde noviembre de 2024, aunque el ataque contra Coinbase no tuvo ocupación hasta marzo de 2025.
La Mecanismo 42 dijo que su investigación comenzó con el conocimiento de que la actividad de GitHub de ReviewDog se comprometió oportuno a una PAT filtrada asociada con el mantenedor del esquema, que seguidamente permitió a los actores de amenaza impulsar una traducción deshonesta de “ReviewDog/Action-setup” que, a su vez, fue recogido por “TJ-TJ-TACTION/CHOLED-FILE” oportuno a que se listó como una dependencia de la “TJ-Actions/Eslint-Chiles.
Desde entonces se ha descubierto que el mantenedor asimismo fue un participante activo en otro esquema de código hendido llamado Spotbugs.
Se dice que los atacantes han empujado un archivo de flujo de trabajo de GitHub de GitHub mal al repositorio de “Spotbugs/Spotbugs” bajo el nombre de afortunado desechable “Jurkaofavak”, lo que hace que la palmadita del mantenedor se filtre cuando se ejecutó el flujo de trabajo.
Se cree que la misma PAT facilitó el llegada a “Spotbugs/Spotbugs” y “ReviewDog/Action-Setup”, lo que significa que la PAT filtrada podría ser abusada de envenenar “revisión de dog/setup de actividad”.
“El atacante de alguna modo tenía una cuenta con permiso de escritura en Spotbugs/Spotbugs, que pudieron usar para aceptar una rama al repositorio y entrar a los secretos de CI”, dijo la Mecanismo 42.
En cuanto a cómo se obtuvieron los permisos de escritura, ha desencajado a la luz que el afortunado detrás del compromiso receloso con los spotbugs, “Jurkaofavak”, fue invitado al repositorio como miembro por uno de los propietarios de proyectos el 11 de marzo de 2025.
En otras palabras, los atacantes lograron obtener la palmadita del repositorio de Spotbugs para invitar a “Jurkaofavak” a convertirse en miembro. Esto, dijo la compañía de seguridad cibernética, se llevó a parte creando una cruce del repositorio “Spotbugs/Sonar-Findbugs” y creando una solicitud de extirpación bajo el nombre de afortunado “Randolzfow”.
“En 2024-11-28T09: 45: 13 UTC, (el mantenedor Spotbugs) modificó uno de los flujos de trabajo ‘Spotbugs/Sonar-Findbugs para usar su propia PAT, ya que tenían dificultades técnicas en una parte de su proceso CI/CD”, explicó la Mecanismo 42.
“El 2024-12-06 02:39:00 UTC, el atacante presentó una solicitud de extirpación maliciosa a Spotbugs/Sonar-Findbugs, que explotó un flujo de trabajo de acciones de GitHub que usó el disparador Pull_request_Target”.
El percusor “Pull_request_Target” es un desencadenante de flujo de trabajo de GitHub Actions que permite que los flujos de trabajo que funcionen desde horquillas accedan a los secretos, en este caso, el PAT, lo que lleva a lo que se fogosidad un ataque de ejecución de tuberías inficionado (PPE).
Desde entonces, el mantenedor de Spotbugs ha confirmado que el PAT que se usó como secreto en el flujo de trabajo era el mismo token de llegada que luego se usó para invitar a “Jurkaofavak” al repositorio “Spotbugs/Spotbugs”. El mantenedor asimismo ha girado todas sus fichas y palmaditas para revocar y evitar un viejo llegada por parte de los atacantes.
Una gran desconocida en todo esto es la brecha de tres meses entre cuando los atacantes filtraron la palmadita del mantenedor de Spotbugs y cuando la abusaron. Se sospecha que los atacantes estaban atentos a los proyectos que dependían de “TJ-Actions/Change-Files” y esperaron para alcanzar un objetivo de suspensión valía como Coinbase.
“Habiendo invertido meses de esfuerzo y posteriormente de conquistar tanto, ¿por qué los atacantes imprimieron los secretos a los troncos, y al hacerlo, asimismo revelaron su ataque?”, Realizaron la Mecanismo 42 investigadores.
