L’attaque de la cha\u00eene d’approvisionnement impliquant l’action GitHub “des actions TJ \/ Files modifi\u00e9es” a commenc\u00e9 comme une attaque tr\u00e8s cibl\u00e9e contre l’un des projets open source de Coinbase, avant de devenir quelque chose de plus r\u00e9pandu dans la port\u00e9e.<\/p>\n
“La charge utile \u00e9tait ax\u00e9e sur l’exploitation du flux public CI \/ CD de l’un de leurs projets open source – Agentkit, probablement dans le but de le tirer parti de compromis suppl\u00e9mentaires”, Palo Alto Networks Unit 42 dit<\/a> dans un rapport. “Cependant, l’attaquant n’a pas \u00e9t\u00e9 en mesure d’utiliser des secrets Coinbase ou de publier des packages.”<\/p>\n Le incident<\/a> a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 le 14 mars 2025, lorsqu’il a \u00e9t\u00e9 constat\u00e9 que les “actions TJ \/ Files modifi\u00e9es” ont \u00e9t\u00e9 compromises pour injecter du code qui a divulgu\u00e9 des secrets sensibles des r\u00e9f\u00e9rentiels qui dirigeaient le flux de travail. Il a \u00e9t\u00e9 attribu\u00e9 \u00e0 l’identifiant CVE CVE-2025-30066<\/a> (Score CVSS: 8.6).<\/p>\n Selon Endor Labs, les r\u00e9f\u00e9rentiels GitHub 218 sont estim\u00e9s \u00e0 avoir expos\u00e9 leurs secrets en raison de l’attaque de la cha\u00eene d’approvisionnement, et la majorit\u00e9 des informations divulgu\u00e9es comprennent une “douzaine” d’identification pour Dockerhub, NPM et Amazon Web Services (AWS), ainsi que GitHub Installation d’acc\u00e8s \u00e0 installer.<\/p>\n “L’\u00e9chelle initiale de l’attaque de la cha\u00eene d’approvisionnement semblait effrayante, \u00e9tant donn\u00e9 que des dizaines de milliers de r\u00e9f\u00e9rentiels d\u00e9pendent de l’action GitHub”, cherche-t-il en s\u00e9curit\u00e9 Henrik Plate dit<\/a>.<\/p>\n “Cependant, le forage dans les workflows, leurs courses et leurs secrets divulgu\u00e9s montrent que l’impact r\u00e9el est plus petit que pr\u00e9vu:` `Seul ” 218 r\u00e9f\u00e9rentiels a divulgu\u00e9 des secrets, et la majorit\u00e9 d’entre eux sont de courte dur\u00e9e GitHub_Tokens, qui expirent une fois qu’une course de travail est termin\u00e9e.”<\/p>\n Depuis lors, il est apparu que la balise V1 d’une autre action GitHub appel\u00e9e “ReviewDog \/ Action-Settup”, sur laquelle “TJ-Action \/ Files modifi\u00e9s” s’appuie comme une d\u00e9pendance via “TJ-Ractions \/ Eslint-Changed-Files”, a \u00e9galement \u00e9t\u00e9 compromis dans la t\u00eate de l’incident de TJ-Ractions avec une charge salariale similaire. Le violation de “reviewdog \/ action-setup”<\/a> est suivi comme CVE-2025-30154<\/a> (Score CVSS: 8.6).<\/p>\n L’exploitation du CVE-2025-30154 aurait permis \u00e0 l’acteur de menace non identifi\u00e9 d’obtenir un jeton d’acc\u00e8s personnel (PAT) associ\u00e9 \u00e0 “TJ-Action \/ Files modifi\u00e9s”, leur permettant ainsi de modifier le r\u00e9f\u00e9rentiel et de pousser le code malveillant, impactant \u00e0 son tour chaque r\u00e9f\u00e9rentiel Github qui d\u00e9pend de l’action.<\/p>\n “Lorsque l’action TJ-Actions \/ Eslint-Changed-Files a \u00e9t\u00e9 ex\u00e9cut\u00e9e, les secrets du coureur TJ-Actions \/ Files modifi\u00e9s ont \u00e9t\u00e9 divulgu\u00e9s, permettant aux attaquants de voler les r\u00e9f\u00e9rences utilis\u00e9es dans le coureur, y compris un jeton d’acc\u00e8s personnel (PAT) appartenant au TJ-Bot-Actions Github Contat Dit Avital.<\/p>\n Il est actuellement soup\u00e7onn\u00e9 que l’attaquant a r\u00e9ussi \u00e0 acc\u00e9der en quelque sorte \u00e0 un jeton avec un acc\u00e8s en \u00e9criture \u00e0 l’organisation ReviewDog afin d’effectuer les modifications voyoues. Cela dit, la mani\u00e8re dont ce jeton peut avoir \u00e9t\u00e9 acquis reste inconnue \u00e0 ce stade.<\/p>\n En outre, les engagements malveillants \u00e0 “ReviewDog \/ Action-Settup” auraient \u00e9t\u00e9 effectu\u00e9s en fournissant d’abord le r\u00e9f\u00e9rentiel correspondant, en lui apportant des modifications, puis en cr\u00e9ant un Demande de traction de fourche<\/a> au r\u00e9f\u00e9rentiel original et finalement introduire des validations arbitraires – un sc\u00e9nario appel\u00e9 un engagement dangereux.<\/p>\n “L’attaquant a pris des mesures importantes pour cacher ses pistes en utilisant diverses techniques, telles que la mise \u00e0 profit des engagements pendants, la cr\u00e9ation de multiples comptes d’utilisateurs temporaires GitHub et l’obscurcissement de leurs activit\u00e9s dans les journaux de flux de travail (en particulier dans l’attaque initiale de Coinbase)”, a d\u00e9clar\u00e9 Gil, directeur de recherche principal chez Palo Alto Networks,, a d\u00e9clar\u00e9 \u00e0 The Hacker News. “Ces r\u00e9sultats indiquent que l’attaquant est hautement qualifi\u00e9 et a une compr\u00e9hension approfondie des menaces de s\u00e9curit\u00e9 CI \/ CD et des tactiques d’attaque.”<\/p>\n L’unit\u00e9 42 a th\u00e9oris\u00e9 que le compte d’utilisateur derri\u00e8re la demande de traction de fourche “IlrmkCU86TJWP8” peut avoir \u00e9t\u00e9 cach\u00e9 de la vue du public apr\u00e8s que l’attaquant est pass\u00e9 d’une adresse e-mail l\u00e9gitime fournie lors de l’inscription \u00e0 un e-mail jetable (ou anonyme) en violation de la politique de Github.<\/p>\n Cela aurait pu faire cacher toutes les interactions et actions effectu\u00e9es par l’utilisateur. Cependant, lorsqu’il a \u00e9t\u00e9 contact\u00e9 pour commenter, Github n’a pas confirm\u00e9 ni refus\u00e9 l’hypoth\u00e8se, mais a d\u00e9clar\u00e9 qu’il examinait activement la situation et prenait des mesures si n\u00e9cessaire.<\/p>\n “Il n’y a actuellement aucune preuve sugg\u00e9rant un compromis de GitHub ou de ses syst\u00e8mes. Les projets soulign\u00e9s sont des projets open-source g\u00e9r\u00e9s par les utilisateurs”, a d\u00e9clar\u00e9 un porte-parole de GitHub au Hacker News.<\/p>\n “GitHub continue d’examiner et de prendre des mesures sur les rapports des utilisateurs li\u00e9s au contenu du r\u00e9f\u00e9rentiel, y compris les logiciels malveillants et d’autres attaques malveillantes, conform\u00e9ment \u00e0 Les politiques d’utilisation acceptables de Github<\/a>. Les utilisateurs doivent toujours consulter les actions GitHub ou tout autre package qu’ils utilisent dans leur code avant de mettre \u00e0 jour les nouvelles versions. Cela reste vrai ici comme dans tous les autres cas d’utilisation du code tiers. “<\/p>\n Une recherche plus profonde pour GitHub Forks of TJ-Action \/ Changement-Files a conduit \u00e0 la d\u00e9couverte de deux autres comptes “2ft2dko28uaztz” et “mmvojwip”, qui ont depuis \u00e9t\u00e9 supprim\u00e9s depuis la plate-forme. Les deux comptes ont \u00e9galement \u00e9t\u00e9 trouv\u00e9s pour cr\u00e9er des fourchettes de r\u00e9f\u00e9rentiels li\u00e9s \u00e0 Coinbase tels que Onchainkit, AgentKit et X402.<\/p>\n Plus loin<\/a> examen<\/a> a d\u00e9couvert<\/a> que les comptes ont modifi\u00e9 le fichier “Changelog.yml” dans le r\u00e9f\u00e9rentiel AgentKit \u00e0 l’aide d’une demande de traction de fourche pour pointer une version malveillante de “TJ-Action \/ Files modifi\u00e9s” publi\u00e9 plus t\u00f4t en utilisant le PAT.<\/p>\n L’attaquant aurait obtenu un jeton GitHub avec des autorisations d’\u00e9criture au r\u00e9f\u00e9rentiel AgentKit – \u00e0 son tour facilit\u00e9 par l’ex\u00e9cution des actions GitHub-Aactions \/ Files modifi\u00e9es – afin d’apporter les modifications non autoris\u00e9es. <\/p>\n![\"Cybers\u00e9curit\u00e9\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Coinbase-initialement-cible-dans-les-actions-de-GitHub-Attaque-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n