El ataque de la cadena de suministro en cascada que inicialmente se dirigi\u00f3 a Coinbase antes de estar m\u00e1s extendido para destacar a los usuarios del GitHub Action “TJ-Actions\/Changed-Files” se ha rastreado m\u00e1s atr\u00e1s al robo de un token de acceso personal (PALMADITA<\/a>) Relacionado con Spotbugs.<\/p>\n “Los atacantes obtuvieron el acceso inicial aprovechando el flujo de trabajo de las acciones de GitHub de Spotbugs, una herramienta popular de c\u00f3digo abierto para el an\u00e1lisis est\u00e1tico de errores en c\u00f3digo”, la unidad de Palo Alto Networks 42 dicho<\/a> en una actualizaci\u00f3n esta semana. “Esto permiti\u00f3 a los atacantes moverse lateralmente entre los repositorios de Spotbugs, hasta obtener acceso a ReviewDog”.<\/p>\n Hay evidencia que sugiere que la actividad maliciosa comenz\u00f3 desde noviembre de 2024, aunque el ataque contra Coinbase no tuvo lugar hasta marzo de 2025.<\/p>\n La Unidad 42 dijo que su investigaci\u00f3n comenz\u00f3 con el conocimiento de que la acci\u00f3n de GitHub de ReviewDog se comprometi\u00f3 debido a una PAT filtrada asociada con el mantenedor del proyecto, que posteriormente permiti\u00f3 a los actores de amenaza impulsar una versi\u00f3n deshonesta de “ReviewDog\/Action-setup” que, a su vez, fue recogido por “TJ-TJ-TACTION\/CHOLED-FILE” debido a que se list\u00f3 como una dependencia de la “TJ-Actions\/Eslint-Chiles.<\/p>\n Desde entonces se ha descubierto que el mantenedor tambi\u00e9n fue un participante activo en otro proyecto de c\u00f3digo abierto llamado Spotbugs.<\/p>\n Se dice que los atacantes han empujado un archivo de flujo de trabajo de GitHub de GitHub mal al repositorio de “Spotbugs\/Spotbugs” bajo el nombre de usuario desechable “Jurkaofavak”, lo que hace que la palmadita del mantenedor se filtre cuando se ejecut\u00f3 el flujo de trabajo.<\/p>\n Se cree que la misma PAT facilit\u00f3 el acceso a “Spotbugs\/Spotbugs” y “ReviewDog\/Action-Setup”, lo que significa que la PAT filtrada podr\u00eda ser abusada de envenenar “revisi\u00f3n de dog\/setup de acci\u00f3n”.<\/p>\n “El atacante de alguna manera ten\u00eda una cuenta con permiso de escritura en Spotbugs\/Spotbugs, que pudieron usar para llevar una rama al repositorio y acceder a los secretos de CI”, dijo la Unidad 42.<\/p>\n En cuanto a c\u00f3mo se obtuvieron los permisos de escritura, ha salido a la luz que el usuario detr\u00e1s del compromiso malicioso con los spotbugs, “Jurkaofavak”, fue invitado al repositorio como miembro por uno de los propietarios de proyectos el 11 de marzo de 2025.<\/p>\n En otras palabras, los atacantes lograron obtener la palmadita del repositorio de Spotbugs para invitar a “Jurkaofavak” a convertirse en miembro. Esto, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica, se llev\u00f3 a cabo creando una bifurcaci\u00f3n del repositorio “Spotbugs\/Sonar-Findbugs” y creando una solicitud de extracci\u00f3n bajo el nombre de usuario “Randolzfow”.<\/p>\n “En 2024-11-28T09: 45: 13 UTC, [the SpotBugs maintainer] Modificado uno de los ‘Spotbugs\/Sonar-Findbugs Workflows para usar su propia palmadita, ya que ten\u00edan dificultades t\u00e9cnicas en una parte de su proceso CI\/CD “, explic\u00f3 la Unidad 42.<\/p>\n “El 2024-12-06 02:39:00 UTC, el atacante present\u00f3 un Solicitud de extracci\u00f3n maliciosa<\/a> a Spotbugs\/sonar-Findbugs, que explot\u00f3 un flujo de trabajo de acciones de GitHub que us\u00f3 el pull_request_target<\/a> desencadenar.”<\/p>\n El gatillo “Pull_request_Target” es un desencadenante de flujo de trabajo de GitHub Actions que permite que los flujos de trabajo que funcionen desde horquillas accedan a los secretos, en este caso, el PAT, lo que lleva a lo que se llama un ataque de ejecuci\u00f3n de tuber\u00edas envenenado (PPE).<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Robo-del-token-de-acceso-de-Spotbugs-identificado-como-causa.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n