04 avril 2025Ravie LakshmananVulnérabilité / open source,

L’attaque de la chaîne d’approvisionnement en cascade qui a initialement ciblé Coinbase avant de devenir plus répandue pour les utilisateurs célibataires de l’action GitHub “TJ-Actions / Files modifiée” a été retracée au vol d’un jeton d’accès personnel (TAPOTER) lié aux punaises.

“Les attaquants ont obtenu un accès initial en profitant du flux de travail GitHub Actions of Spotbugs, un outil d’ouverture populaire pour l’analyse statique des bogues dans le code”, Palo Alto Networks Unit 42 dit dans une mise à jour cette semaine. “Cela a permis aux attaquants de se déplacer latéralement entre les référentiels Spotbugs, jusqu’à ce que l’accès à ReviewDog.”

Il existe des preuves suggérant que l’activité malveillante a commencé jusqu’à novembre 2024, bien que l’attaque contre Coinbase n’ait eu lieu qu’en mars 2025.

Cybersécurité

L’unité 42 a déclaré que son enquête avait commencé avec le fait que l’action GitHub de ReviewDog avait été compromise en raison d’un PAT divulgué associé au mainteneur du projet, qui a par la suite permis aux acteurs de la menace de repousser une version voyoue de “ReviewDog / Action-Settup” qui, à son tour, a été repris par “TJ-Actions / Action-Files” en raison de l’action en fonction de la «transaction TJ-Ractions / Eslint».

Il a depuis été découvert que le mainteneur était également un participant actif à un autre projet open-source appelé Spotbugs.

Les attaquants auraient poussé un fichier de workflow GitHub Actions malveillant dans le référentiel “Spotbugs / Spotbugs” sous le nom d’utilisateur jetable “Jurkaofavak”, ce qui a provoqué la divulgation du Pat du maintien lorsque le flux de travail a été exécuté.

On pense que le même PAT a facilité l’accès à la fois aux “ponts spot / spotbugs” et “examenDog / action-setup”, ce qui signifie que le tapis divulgué pourrait être abusé pour empoisonner “ReviewDog / Action-Settup”.

Attaque de la chaîne d'approvisionnement de Coinbase

“L’attaquant avait en quelque sorte un compte avec une autorisation d’écriture dans les spots / bogues, qu’ils ont pu utiliser pour pousser une succursale vers le référentiel et accéder aux secrets CI”, a déclaré l’unité 42.

Quant à la façon dont les autorisations d’écriture ont été obtenues, il est apparu que l’utilisateur derrière le malveillant se engage à Spotbugs, “Jurkaofavak”, a été invité au référentiel en tant que membre par l’un des agents-responsables du projet eux-mêmes le 11 mars 2025.

En d’autres termes, les attaquants ont réussi à obtenir le Pat du référentiel Spotbugs à inviter “Jurkaofavak” à devenir membre. Cela, a déclaré la société de cybersécurité, a été réalisé en créant une fourche du référentiel “Spotbugs / Sonar-Findbugs” et en créant une demande de traction sous le nom d’utilisateur “Randolzfow”.

“Le 2024-11-28T09: 45: 13 UTC, [the SpotBugs maintainer] a modifié l’un des flux de travail des «spots bogs / sonar-libugs pour utiliser leur propre PAT, car ils avaient des difficultés techniques dans une partie de leur processus CI / CD», a expliqué l’unité 42.

“Le 2024-12-06 02:39:00 UTC, l’attaquant a soumis un Demande de traction malveillante aux spots / sonar-finbugs, qui ont exploité un flux de travail GitHub Actions qui a utilisé le pull_request_target déclenchement.”

Le déclencheur “Pull_request_target” est un déclencheur de workflow GitHub Actions qui permet aux flux de travail de passer des fourches à accéder aux secrets – dans ce cas, le PAT – conduisant à ce qu’on appelle une attaque d’exécution de pipeline empoisonné (PPE).

Cybersécurité

Le maintener Spotbugs a depuis confirmé que le PAT qui avait été utilisé comme secret dans le flux de travail était le même jeton d’accès qui a ensuite été utilisé pour inviter “Jurkaofavak” au référentiel “Spotbugs / Spotbugs”. Le mainteneur a également tourné tous leurs jetons et leurs pats pour révoquer et empêcher un accès supplémentaire par les attaquants.

Un grand inconnu dans tout cela est l’écart de trois mois entre le moment où les attaquants ont divulgué le patte du mainteneur des pbgs et quand ils l’ont abusé. Il est soupçonné que les attaquants surveillaient les projets qui dépendaient des “actions TJ / Files modifiées” et attendaient de frapper une cible de grande valeur comme Coinbase.

“Ayant investi des mois d’efforts et après avoir accompli tant de choses, pourquoi les attaquants ont-ils imprimé les secrets aux journaux et, ce faisant, ont également révélé leur attaque?”, Ont réfléchi aux chercheurs de l’unité 42.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57