El ataque de la cautiverio de suministro en cascada que inicialmente se dirigió a Coinbase antiguamente de quedarse más extendido para destacar a los usuarios de la argumento de GitHub «TJ-Actions/Cambied-Files» se ha rastreado más detrás con el robo de un token de entrada personal (PAT) relacionado con las casquillas de puntos.
«Los atacantes obtuvieron el entrada original aprovechando el flujo de trabajo de las acciones de GitHub de Spotbugs, una utensilio popular de código hendido para el descomposición suspenso de errores en código», dijo la mecanismo 42 de Palo Detención Networks en una aggiornamento esta semana. «Esto permitió a los atacantes moverse lateralmente entre los repositorios de Spotbugs, hasta obtener entrada a ReviewDog».
Hay evidencia que sugiere que la actividad maliciosa comenzó desde noviembre de 2024, aunque el ataque contra Coinbase no tuvo motivo hasta marzo de 2025.
La Pelotón 42 dijo que su investigación comenzó con el conocimiento de que la argumento de GitHub de ReviewDog se comprometió oportuno a una PAT filtrada asociada con el mantenedor del esquema, que luego permitió a los actores de amenaza impulsar una lectura deshonesta de «ReviewDog/Action-setup» que, a su vez, fue recogido por «TJ-TJ-TACTION/CHOLED-FILE» oportuno a que se listó como una dependencia de la «TJ-Actions/Eslint-Chiles.
Desde entonces se ha descubierto que el mantenedor incluso fue un participante activo en otro esquema de código hendido llamado Spotbugs.
Se dice que los atacantes han empujado un archivo de flujo de trabajo de GitHub de GitHub mal al repositorio de «Spotbugs/Spotbugs» bajo el nombre de heredero desechable «Jurkaofavak», lo que hace que la palmadita del mantenedor se filtre cuando se ejecutó el flujo de trabajo.
Se cree que la misma PAT facilitó el entrada a «Spotbugs/Spotbugs» y «ReviewDog/Action-Setup», lo que significa que la PAT filtrada podría ser abusada de envenenar «revisión de dog/setup de argumento».
«El atacante de alguna guisa tenía una cuenta con permiso de escritura en Spotbugs/Spotbugs, que pudieron usar para transigir una rama al repositorio y aceptar a los secretos de CI», dijo la Pelotón 42.
En cuanto a cómo se obtuvieron los permisos de escritura, ha saledizo a la luz que el heredero detrás del compromiso taimado con los spotbugs, «Jurkaofavak», fue invitado al repositorio como miembro por uno de los propietarios de proyectos el 11 de marzo de 2025.
En otras palabras, los atacantes lograron obtener la palmadita del repositorio de Spotbugs para invitar a «Jurkaofavak» a convertirse en miembro. Esto, dijo la compañía de seguridad cibernética, se llevó a mango creando una derivación del repositorio «Spotbugs/Sonar-Findbugs» y creando una solicitud de cuna bajo el nombre de heredero «Randolzfow».
«En 2024-11-28T09: 45: 13 UTC, (el mantenedor Spotbugs) modificó uno de los flujos de trabajo ‘Spotbugs/Sonar-Findbugs para usar su propia PAT, ya que tenían dificultades técnicas en una parte de su proceso CI/CD», explicó la Pelotón 42.
«El 2024-12-06 02:39:00 UTC, el atacante presentó una solicitud de cuna maliciosa a Spotbugs/Sonar-Findbugs, que explotó un flujo de trabajo de acciones de GitHub que usó el disparador Pull_request_Target».
El percutor «Pull_request_Target» es un desencadenante de flujo de trabajo de GitHub Actions que permite que los flujos de trabajo que funcionen desde horquillas accedan a los secretos, en este caso, el PAT, lo que lleva a lo que se ardor un ataque de ejecución de tuberías inficionado (PPE).
Desde entonces, el mantenedor de Spotbugs ha confirmado que el PAT que se usó como secreto en el flujo de trabajo era el mismo token de entrada que luego se usó para invitar a «Jurkaofavak» al repositorio «Spotbugs/Spotbugs». El mantenedor incluso ha girado todas sus fichas y palmaditas para revocar y evitar un viejo entrada por parte de los atacantes.
Una gran desconocida en todo esto es la brecha de tres meses entre cuando los atacantes filtraron la palmadita del mantenedor de Spotbugs y cuando la abusaron. Se sospecha que los atacantes estaban atentos a los proyectos que dependían de «TJ-Actions/Change-Files» y esperaron para alcanzar un objetivo de parada valía como Coinbase.
«Habiendo invertido meses de esfuerzo y luego de conseguir tanto, ¿por qué los atacantes imprimieron los secretos a los troncos, y al hacerlo, incluso revelaron su ataque?», Realizaron la Pelotón 42 investigadores.
