“TJ-Actions/Chaned Files” Github eyleminin tek dışarı kullanıcılarına daha yaygın hale gelmeden önce, parayı daha yaygın hale gelmeden önce, kişisel erişim belirtecinin hırsızlığına kadar izlenen basamaklı tedarik zinciri saldırısı (Patlamak) Spotbugs ile ilgili.
“Saldırganlar, koddaki hataların statik analizi için popüler bir açık kaynaklı araç olan Spotbugs’un GitHub Eylemleri İş Akışından yararlanarak ilk erişimi elde etti.” söz konusu Bu hafta bir güncellemede. Diyerek şöyle devam etti: “Bu, saldırganların inceleme doruklarına erişim elde edene kadar spotbugs depoları arasında yanal olarak hareket etmesini sağladı.”
Madakatçi aktivitenin Kasım 2024’e kadar başladığını gösteren kanıtlar var, ancak Coinbase’e karşı saldırı Mart 2025’e kadar gerçekleşmedi.
Ünite 42, soruşturmasının, ReviewDog’un GitHub eyleminin, projenin bakımı ile ilişkili sızdırılmış bir pat nedeniyle tehlikeye atıldığını ve daha sonra tehdit aktörlerinin “ReviewDog/Action-Setup” nun haydut bir versiyonunu, “tj-eylemler” tarafından “tj-eylemler” tarafından seçildiği için seçilmesini sağladığını söyledi.
O zamandan beri koruyucu, Spotbugs adlı başka bir açık kaynaklı projede aktif bir katılımcı olduğu ortaya çıktı.
Saldırganların kötü amaçlı GitHub eylemleri iş akışı dosyasını “Jurkaofavak” kullanıcı adı altında “Spotbugs/Spotbugs” deposuna ittiği söyleniyor ve bu da iş akışı yürütüldüğünde bakıcının patının sızmasına neden oluyor.
Aynı PAT’ın hem “spotbugs/spotbugs” hem de “ReviewDog/Action-Setup” a erişimi kolaylaştırdığına inanılıyor, yani sızdırılan Pat “ReviewDog/Action-Setup” ı zehirlemek için istismar edilebilir.
Ünite 42, “Saldırganın bir şekilde bir şubeyi depoya itmek ve CI sırlarına erişmek için kullanabildikleri Spotbugs/Spotbugs’da yazma izni olan bir hesabı vardı.” Dedi.
Yazma izinlerinin nasıl elde edildiğine gelince, spotbuglara kötü niyetli taahhütlerin arkasındaki kullanıcının, “Jurkaofavak” ın, 11 Mart 2025’te proje koruyucularından biri tarafından üye olarak davet edildiği ortaya çıktı.
Başka bir deyişle, saldırganlar “Jurkaofavak” ı üye olmaya davet etmek için Spotbugs deposunun patını almayı başardılar. Siber güvenlik şirketi, “Spotbugs/Sonar-Findbugs” deposunun çatalını oluşturarak ve “Randolzfow” kullanıcı adı altında bir çekme isteği oluşturarak gerçekleştirildiğini söyledi.
“2024-11-28T09: 45: 13 UTC, [the SpotBugs maintainer] Ünite 42, ‘Spotbugs/Sonar-FindBugs iş akışlarından birini kendi PAT’larını kullanmak için değiştirdi, çünkü CI/CD işlemlerinin bir bölümünde teknik zorluklar yaşıyorlardı. “
“2024-12-06 02:39:00 UTC’de saldırgan bir Kötü niyetli çekme isteği Github eylemleri iş akışını kullanan spotbugs/sonar-findbugs’a pull_request_target tetiklemek.”
“Pull_Request_Target” tetikleyicisi, çatallardan sırlara erişmek için çalışan iş akışlarının – bu durumda PAT – zehirli boru hattı yürütme saldırısı (PPE) olarak adlandırılan bir GitHub Eylemleri iş akışı tetikleyicisidir.
Spotbugs koruyucu, o zamandan beri iş akışında bir sır olarak kullanılan PAT’ın daha sonra “Jurkaofavak” ı “Spotbugs/Spotbugs” deposuna davet etmek için kullanılan aynı erişim belirteci olduğunu doğruladı. Bakım, saldırganların daha fazla erişimi iptal etmek ve önlemek için tüm jetonlarını ve pats’larını da döndürdü.
Bütün bunlarda bilinmeyen bir büyük kişi, saldırganların Spotbugs Bakımcının Pat’ı sızdırması ile istismar ettikleri zaman arasındaki üç aylık boşluktur. Saldırganların “TJ-Actions/Değişmiş Dosyalara” bağlı projelere dikkat ettiklerinden ve Coinbase gibi yüksek değerli bir hedefe çarpmayı beklediğinden şüpheleniliyor.
Birim 42 araştırmacıları, “Aylarca çaba harcadıktan ve bu kadar çok şey başardıktan sonra, saldırganlar neden sırları kütüklere yazdırdılar ve bunu yaparken saldırılarını da ortaya çıkardılar?”
