El ataque de la cadena de suministro que involucra la acci\u00f3n de Github “TJ-Actions\/Cambied-Files” comenz\u00f3 como un ataque muy dirigido contra uno de los proyectos de c\u00f3digo abierto de Coinbase, antes de evolucionar a algo m\u00e1s generalizado.<\/p>\n
“La carga \u00fatil se centr\u00f3 en explotar el flujo p\u00fablico de CI\/CD de uno de sus proyectos de c\u00f3digo abierto: AgentKit, probablemente con el prop\u00f3sito de aprovecharlo para obtener m\u00e1s compromisos”, la Unidad de Palo Alto Networks 42 dicho<\/a> en un informe. “Sin embargo, el atacante no pudo usar secretos de Coinbase o publicar paquetes”.<\/p>\n El incidente<\/a> sali\u00f3 a la luz el 14 de marzo de 2025, cuando se descubri\u00f3 que “TJ-Actions\/Cambied-Files” se vio comprometido a inyectar c\u00f3digo que filtr\u00f3 secretos confidenciales de los repositorios que ejecutaban el flujo de trabajo. Se le ha asignado el identificador CVE CVE-2025-30066<\/a> (Puntuaci\u00f3n CVSS: 8.6).<\/p>\n Seg\u00fan Endor Labs, se estima que 218 repositorios de GitHub han expuesto sus secretos debido al ataque de la cadena de suministro, y la mayor\u00eda de la informaci\u00f3n filtrada incluye una “docena de credenciales” para Dockerhub, NPM y Amazon Web Services (AWS), as\u00ed como GitHub Instalating Tokens.<\/p>\n “La escala inicial del ataque de la cadena de suministro sonaba aterrador, considerando que decenas de miles de repositorios dependen de la acci\u00f3n de GitHub”, el investigador de seguridad Henrik Plate dicho<\/a>.<\/p>\n “Sin embargo, la profundizaci\u00f3n en los flujos de trabajo, sus corridas y secretos filtrados muestran que el impacto real es menor de lo previsto: ‘solo’ 218 repositorios filtrados secretos, y la mayor\u00eda de ellos son GitHub_tokens de corta duraci\u00f3n, que expiran una vez que se completa una ejecuci\u00f3n de flujo de trabajo”.<\/p>\n Desde entonces, ha surgido que la etiqueta V1 de otra acci\u00f3n de GitHub llamada “ReviewDog\/Action-Setup”, que “TJ-Actions\/cambi\u00f3 de archivos” se basa como una dependencia a trav\u00e9s de “TJ-Actions\/Eslint-Changed-Files”, tambi\u00e9n se comprometi\u00f3 en el incidente de TJ-Actions con una carga \u00fatil similar. El incumplimiento de “ReviewDog\/Action-Setup”<\/a> est\u00e1 siendo rastreado como CVE-2025-30154<\/a> (Puntuaci\u00f3n CVSS: 8.6).<\/p>\n Se dice que la explotaci\u00f3n de CVE-2025-30154 ha permitido al actor de amenaza no identificado obtener un token de acceso personal (PAT) asociado con “TJ-Actions\/Cambied-Files”, permiti\u00e9ndoles modificar el apositorio y empujar el c\u00f3digo malicioso, a su vez, impactando cada repositorio de Github que depend\u00eda de la acci\u00f3n.<\/p>\n “Cuando se ejecut\u00f3 la acci\u00f3n TJ-Actions\/Eslint-Changed-Files, los secretos de corredores de CI TJ-Actions\/Cambied Files se filtraron, lo que permite a los atacantes robar las credenciales utilizadas en el corredor, incluido un token de acceso personal (Pat) perteneciente a la cuenta de usuario de TJ-Bot-Github,” Unidad 42 Investigadores Omer Gille, AviAd Hahami, Asi, Asi, y y y las Acciones de TJ-Bot, y Y y YiRiLts, y Y y YiNiTiLts, AVIATHS, AVILITTS, ASI, AVILITA AVITITALS, ASI AVITITA, ASI AVILTITAS, Y YABON Y YANTIL dicho.<\/p>\n Actualmente se sospecha que el atacante logr\u00f3 obtener acceso de alguna manera a un token con acceso de escritura a la organizaci\u00f3n ReviewDog para hacer las modificaciones deshonestas. Dicho esto, la forma en que puede haber sido adquirida esta ficha sigue siendo desconocida en esta etapa.<\/p>\n Adem\u00e1s, se dice que el malicioso se compromete a “revisar dog\/acci\u00f3n-setup” se llev\u00f3 a cabo bifurcando primero el repositorio correspondiente, comprometiendo cambios a \u00e9l y luego creando un Solicitud de extracci\u00f3n<\/a> Para el repositorio original y, en \u00faltima instancia, introduciendo comodidades arbitrarias, un escenario llamado un compromiso colgante.<\/p>\n “El atacante tom\u00f3 medidas significativas para ocultar sus huellas utilizando diversas t\u00e9cnicas, como aprovechar las confirmaciones colgantes, crear m\u00faltiples cuentas temporales de usuarios de GitHub y ofuscando sus actividades en los registros de flujo de trabajo (especialmente en el ataque inicial de Coinbase)”, Gil, Gerente de Investigaci\u00f3n Senior de Palo Alto Networks, cont\u00f3 a The Hacker News. “Estos hallazgos indican que el atacante es altamente h\u00e1bil y tiene una comprensi\u00f3n profunda de las amenazas de seguridad de CI\/CD y las t\u00e1cticas de ataque”.<\/p>\n La Unidad 42 teoriz\u00f3 que la cuenta de usuario detr\u00e1s de la solicitud de extracci\u00f3n de la horquilla “ILRMKCU86TJWP8” puede haber estado oculta de la vista p\u00fablica despu\u00e9s de que el atacante cambi\u00f3 de una direcci\u00f3n de correo electr\u00f3nico leg\u00edtima proporcionada durante el registro a un correo electr\u00f3nico desechable (o an\u00f3nimo) en violaci\u00f3n de la pol\u00edtica de Github.<\/p>\n Esto podr\u00eda haber causado que todas las interacciones y acciones realizadas por el usuario est\u00e9n ocultas. Sin embargo, cuando se contact\u00f3 para hacer comentarios, Github no confirm\u00f3 ni neg\u00f3 la hip\u00f3tesis, pero dijo que est\u00e1 revisando activamente la situaci\u00f3n y tomando medidas seg\u00fan sea necesario.<\/p>\n “Actualmente no hay evidencia que sugiera un compromiso de GitHub o sus sistemas. Los proyectos destacados son proyectos de c\u00f3digo abierto mantenidos por los usuarios”, dijo un portavoz de GitHub a The Hacker News.<\/p>\n “Github contin\u00faa revisando y tomando medidas en los informes de los usuarios relacionados con el contenido del repositorio, incluidos el malware y otros ataques maliciosos, de acuerdo con Pol\u00edticas de uso aceptables de Github<\/a>. Los usuarios siempre deben revisar las acciones de GitHub o cualquier otro paquete que est\u00e9n utilizando en su c\u00f3digo antes de actualizar a nuevas versiones. Eso sigue siendo cierto aqu\u00ed como en todos los dem\u00e1s casos de uso de c\u00f3digo de terceros “.<\/p>\n Una b\u00fasqueda m\u00e1s profunda de GitHub Forks of TJ-Actions\/Cambied-Files ha llevado al descubrimiento de otras dos cuentas “2ft2dko28uaztz” y “mmvojwip”, que desde entonces se han eliminado de la plataforma. Tambi\u00e9n se ha encontrado que ambas cuentas crean horquillas de repositorios relacionados con Coinbase como Onchainkit, AgentKit y X402.<\/p>\n M\u00e1s<\/a> examen<\/a> tiene descubierto<\/a> que las cuentas modificaron el archivo “ChangeLog.yml” en el repositorio de AgentKit utilizando una solicitud de extracci\u00f3n de horquilla para apuntar a una versi\u00f3n maliciosa de “TJ-Actions\/cambi\u00f3 de archivos” publicada anteriormente usando el PAT.<\/p>\n Se cree que el atacante obtuvo un token de GitHub con permisos de escritura al repositorio de agente, a su vez facilitado por la ejecuci\u00f3n de las acciones de Github TJ-Actions\/Cambied-Files, para realizar los cambios no autorizados. <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Coinbase-inicialmente-atacado-en-las-acciones-de-GitHub-Attack-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n