{"id":1610749,"date":"2025-04-04T12:29:46","date_gmt":"2025-04-04T14:29:46","guid":{"rendered":"https:\/\/teknomers.com\/fr\/vol-a-jeton-dacces-des-bousculades-identifies-comme-cause-profonde-de-lattaque-de-la-chaine-dapprovisionnement-github\/"},"modified":"2025-04-04T12:29:51","modified_gmt":"2025-04-04T14:29:51","slug":"vol-a-jeton-dacces-des-bousculades-identifies-comme-cause-profonde-de-lattaque-de-la-chaine-dapprovisionnement-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/vol-a-jeton-dacces-des-bousculades-identifies-comme-cause-profonde-de-lattaque-de-la-chaine-dapprovisionnement-github\/","title":{"rendered":"Vol \u00e0 jeton d&#8217;acc\u00e8s des bousculades identifi\u00e9s comme cause profonde de l&#8217;attaque de la cha\u00eene d&#8217;approvisionnement GitHub"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ open source,<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Vol-a-jeton-dacces-des-bousculades-identifies-comme-cause-profonde.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>L&#8217;attaque de la cha\u00eene d&#8217;approvisionnement en cascade qui a initialement cibl\u00e9 Coinbase avant de devenir plus r\u00e9pandue pour les utilisateurs c\u00e9libataires de l&#8217;action GitHub &#8220;TJ-Actions \/ Files modifi\u00e9e&#8221; a \u00e9t\u00e9 retrac\u00e9e au vol d&#8217;un jeton d&#8217;acc\u00e8s personnel (<a rel=\"noopener nofollow\" href=\"https:\/\/docs.github.com\/en\/authentication\/keeping-your-account-and-data-secure\/managing-your-personal-access-tokens\" target=\"_blank\">TAPOTER<\/a>) li\u00e9 aux punaises.<\/p>\n<p>&#8220;Les attaquants ont obtenu un acc\u00e8s initial en profitant du flux de travail GitHub Actions of Spotbugs, un outil d&#8217;ouverture populaire pour l&#8217;analyse statique des bogues dans le code&#8221;, Palo Alto Networks Unit 42 <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/github-actions-supply-chain-attack\/\" target=\"_blank\">dit<\/a> dans une mise \u00e0 jour cette semaine. &#8220;Cela a permis aux attaquants de se d\u00e9placer lat\u00e9ralement entre les r\u00e9f\u00e9rentiels Spotbugs, jusqu&#8217;\u00e0 ce que l&#8217;acc\u00e8s \u00e0 ReviewDog.&#8221;<\/p>\n<p>Il existe des preuves sugg\u00e9rant que l&#8217;activit\u00e9 malveillante a commenc\u00e9 jusqu&#8217;\u00e0 novembre 2024, bien que l&#8217;attaque contre Coinbase n&#8217;ait eu lieu qu&#8217;en mars 2025.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;unit\u00e9 42 a d\u00e9clar\u00e9 que son enqu\u00eate avait commenc\u00e9 avec le fait que l&#8217;action GitHub de ReviewDog avait \u00e9t\u00e9 compromise en raison d&#8217;un PAT divulgu\u00e9 associ\u00e9 au mainteneur du projet, qui a par la suite permis aux acteurs de la menace de repousser une version voyoue de &#8220;ReviewDog \/ Action-Settup&#8221; qui, \u00e0 son tour, a \u00e9t\u00e9 repris par &#8220;TJ-Actions \/ Action-Files&#8221; en raison de l&#8217;action en fonction de la \u00abtransaction TJ-Ractions \/ Eslint\u00bb.<\/p>\n<p>Il a depuis \u00e9t\u00e9 d\u00e9couvert que le mainteneur \u00e9tait \u00e9galement un participant actif \u00e0 un autre projet open-source appel\u00e9 Spotbugs.<\/p>\n<p>Les attaquants auraient pouss\u00e9 un fichier de workflow GitHub Actions malveillant dans le r\u00e9f\u00e9rentiel &#8220;Spotbugs \/ Spotbugs&#8221; sous le nom d&#8217;utilisateur jetable &#8220;Jurkaofavak&#8221;, ce qui a provoqu\u00e9 la divulgation du Pat du maintien lorsque le flux de travail a \u00e9t\u00e9 ex\u00e9cut\u00e9.<\/p>\n<p>On pense que le m\u00eame PAT a facilit\u00e9 l&#8217;acc\u00e8s \u00e0 la fois aux &#8220;ponts spot \/ spotbugs&#8221; et &#8220;examenDog \/ action-setup&#8221;, ce qui signifie que le tapis divulgu\u00e9 pourrait \u00eatre abus\u00e9 pour empoisonner &#8220;ReviewDog \/ Action-Settup&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Vol-a-jeton-dacces-des-bousculades-identifies-comme-cause-profonde.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Vol-a-jeton-dacces-des-bousculades-identifies-comme-cause-profonde.png\" alt=\"Attaque de la cha\u00eene d'approvisionnement de Coinbase\" border=\"0\" data-original-height=\"1167\" data-original-width=\"1999\" title=\"Attaque de la cha\u00eene d'approvisionnement de Coinbase\"\/><\/a><\/div>\n<p>&#8220;L&#8217;attaquant avait en quelque sorte un compte avec une autorisation d&#8217;\u00e9criture dans les spots \/ bogues, qu&#8217;ils ont pu utiliser pour pousser une succursale vers le r\u00e9f\u00e9rentiel et acc\u00e9der aux secrets CI&#8221;, a d\u00e9clar\u00e9 l&#8217;unit\u00e9 42.<\/p>\n<p>Quant \u00e0 la fa\u00e7on dont les autorisations d&#8217;\u00e9criture ont \u00e9t\u00e9 obtenues, il est apparu que l&#8217;utilisateur derri\u00e8re le malveillant se engage \u00e0 Spotbugs, &#8220;Jurkaofavak&#8221;, a \u00e9t\u00e9 invit\u00e9 au r\u00e9f\u00e9rentiel en tant que membre par l&#8217;un des agents-responsables du projet eux-m\u00eames le 11 mars 2025.<\/p>\n<p>En d&#8217;autres termes, les attaquants ont r\u00e9ussi \u00e0 obtenir le Pat du r\u00e9f\u00e9rentiel Spotbugs \u00e0 inviter &#8220;Jurkaofavak&#8221; \u00e0 devenir membre. Cela, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, a \u00e9t\u00e9 r\u00e9alis\u00e9 en cr\u00e9ant une fourche du r\u00e9f\u00e9rentiel &#8220;Spotbugs \/ Sonar-Findbugs&#8221; et en cr\u00e9ant une demande de traction sous le nom d&#8217;utilisateur &#8220;Randolzfow&#8221;.<\/p>\n<p>&#8220;Le 2024-11-28T09: 45: 13 UTC, [the SpotBugs maintainer] a modifi\u00e9 l&#8217;un des flux de travail des \u00abspots bogs \/ sonar-libugs pour utiliser leur propre PAT, car ils avaient des difficult\u00e9s techniques dans une partie de leur processus CI \/ CD\u00bb, a expliqu\u00e9 l&#8217;unit\u00e9 42.<\/p>\n<p>&#8220;Le 2024-12-06 02:39:00 UTC, l&#8217;attaquant a soumis un <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/spotbugs\/sonar-findbugs\/pull\/1116\/files\" target=\"_blank\">Demande de traction malveillante<\/a> aux spots \/ sonar-finbugs, qui ont exploit\u00e9 un flux de travail GitHub Actions qui a utilis\u00e9 le <a rel=\"noopener nofollow\" href=\"https:\/\/securitylab.github.com\/resources\/github-actions-preventing-pwn-requests\/\" target=\"_blank\">pull_request_target<\/a> d\u00e9clenchement.&#8221;<\/p>\n<p>Le d\u00e9clencheur &#8220;Pull_request_target&#8221; est un d\u00e9clencheur de workflow GitHub Actions qui permet aux flux de travail de passer des fourches \u00e0 acc\u00e9der aux secrets &#8211; dans ce cas, le PAT &#8211; conduisant \u00e0 ce qu&#8217;on appelle une attaque d&#8217;ex\u00e9cution de pipeline empoisonn\u00e9 (PPE).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le maintener Spotbugs a depuis confirm\u00e9 que le PAT qui avait \u00e9t\u00e9 utilis\u00e9 comme secret dans le flux de travail \u00e9tait le m\u00eame jeton d&#8217;acc\u00e8s qui a ensuite \u00e9t\u00e9 utilis\u00e9 pour inviter &#8220;Jurkaofavak&#8221; au r\u00e9f\u00e9rentiel &#8220;Spotbugs \/ Spotbugs&#8221;. Le mainteneur a \u00e9galement tourn\u00e9 tous leurs jetons et leurs pats pour r\u00e9voquer et emp\u00eacher un acc\u00e8s suppl\u00e9mentaire par les attaquants.<\/p>\n<p>Un grand inconnu dans tout cela est l&#8217;\u00e9cart de trois mois entre le moment o\u00f9 les attaquants ont divulgu\u00e9 le patte du mainteneur des pbgs et quand ils l&#8217;ont abus\u00e9. Il est soup\u00e7onn\u00e9 que les attaquants surveillaient les projets qui d\u00e9pendaient des &#8220;actions TJ \/ Files modifi\u00e9es&#8221; et attendaient de frapper une cible de grande valeur comme Coinbase.<\/p>\n<p>&#8220;Ayant investi des mois d&#8217;efforts et apr\u00e8s avoir accompli tant de choses, pourquoi les attaquants ont-ils imprim\u00e9 les secrets aux journaux et, ce faisant, ont \u00e9galement r\u00e9v\u00e9l\u00e9 leur attaque?&#8221;, Ont r\u00e9fl\u00e9chi aux chercheurs de l&#8217;unit\u00e9 42.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/spotbugs-access-token-theft-identified.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 avril 2025\ue804Ravie LakshmananVuln\u00e9rabilit\u00e9 \/ open source, L&#8217;attaque de la cha\u00eene d&#8217;approvisionnement en cascade qui a initialement cibl\u00e9 Coinbase avant de devenir plus r\u00e9pandue pour les utilisateurs c\u00e9libataires de l&#8217;action GitHub &#8220;TJ-Actions \/ Files modifi\u00e9e&#8221; a \u00e9t\u00e9 retrac\u00e9e au vol d&#8217;un jeton d&#8217;acc\u00e8s personnel (TAPOTER) li\u00e9 aux punaises. &#8220;Les attaquants ont obtenu un acc\u00e8s initial [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1610750,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,129229,2953,1756,4168,79002,274264,4161,274263,6124,7192,3242,133,50438,24833,52056,1505,274267,4160,25364,238617,246491,4172,79016,4166,1976,4164],"class_list":["post-1610749","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-bousculades","tag-chaine","tag-comme","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dacces","tag-dapprovisionnement","tag-des","tag-github","tag-identifies","tag-jeton","tag-lattaque","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-profonde","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vol","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1610749","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1610749"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1610749\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1610750"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1610749"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1610749"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1610749"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}