Un atac în cascada de tip supply chain care a început cu compromiterea acțiunii GitHub „reviewdog/action-setup@v1” se crede că a dus la recenta încălcare a „tj-actions/changed-files” care a scurs secretele CI/CD.
Săptămâna trecută, un atac de tip supply chain asupra acțiunii GitHub tj-actions/changed-files a provocat cod malicios să scrie secrete CI/CD în jurnalele de lucru pentru 23.000 de depozite. Dacă acele jurnale ar fi fost publice, atunci atacatorul ar fi putut fura secretele.
Dezvoltatorii tj-actions nu pot preciza exact cum atacatorii au compromis un token de acces personal GitHub (PAT) folosit de un bot pentru a efectua modificări de cod malicioase.
Astăzi, cercetătorii de la Wiz cred că ar putea avea răspunsul sub formă de atacuri în cascada de tip supply chain care au început cu o altă acțiune GitHub numită ‘reviewdog/action-setup’.
Firma de securitate cibernetică raportează că atacatorii au compromis mai întâi eticheta v1 pentru acțiunea GitHub reviewdog/action-setup și au injectat cod similar pentru a scurge secrete CI/CD în fișierele de jurnal.
Deoarece tj-actions/eslint-changed-files folosește acțiunea reviewdog/action-setup, se crede că acțiunea compromisă a fost folosită pentru a scurge tokenul de acces personal al tj-action și a-l fura.
„Credem că este probabil ca compromiterea reviewdog/action-setup să fie cauza de rădăcină a compromiterii tj-actions-bot PAT,” explică Wiz în raport.
„tj-actions/eslint-changed-files folosește reviewdog/action-setup@v1, iar depozitul tj-actions/changed-files rulează această acțiune tj-actions/eslint-changed-files cu un Personal Access Token.”
„Acțiunea reviewdog a fost compromisă în aproximativ același interval de timp ca și compromiterea tj-actions PAT.”
Atacatorii au inserat o încărcătură codificată în base64 în install.sh, cauzând expunerea secretelor din fluxurile CI afectate.
Așa cum s-a întâmplat și în cazul tj-actions, secretele expuse ar fi vizibile în depozitele publice ca parte a jurnalelor de lucru.
În afară de eticheta reviewdog/action-setup@v1 care a fost confirmată ca fiind compromisă, următoarele acțiuni ar putea fi de asemenea afectate:
Wiz explică că breșa de securitate la Reviewdog a fost remediată întâmplător, dar au informat echipa și GitHub despre descoperirile lor pentru a preveni reapariția.
Deși metoda exactă a compromiterii nu a fost determinată, Wiz comentează că reviewdog menține o bază mare de contributori și acceptă noi membri prin invitații automate, ceea ce crește natural riscul.
De remarcat că, dacă acțiunea rămânea compromisă, un atac repetat asupra tj-actions/changed-files cu un rezultat de succes ar fi fost practic posibil, expunând potențial secretele CI/CD proaspăt rotite.
Wiz sugerează că proiectele potențial afectate rulează această interogare GitHub pentru a verifica referințele la reviewdog/action-setup@v1 în depozite.
Dacă sunt găsite încărcături base64 dublu codificate în jurnalele de lucru, acest lucru ar trebui considerat ca o confirmare că secretele lor au fost scurse.
Dezvoltatorii ar trebui să elimine imediat toate referințele la acțiunile afectate în toate ramurile, să șteargă jurnalele de lucru și să rotească orice secrete expuse potențial.
Pentru a preveni compromiteri similare în viitor, se recomandă fixarea acțiunilor GitHub la hash-urile commit-urilor în loc de etichetele de versiune și utilizarea funcției de listare albă a GitHub pentru a restricționa acțiunile neautorizate.
Aceste atacuri de tip supply chain și secretele CI/CD scurse sunt susceptibile să aibă un efect de durată asupra proiectelor afectate, așa că este necesară o acțiune rapidă pentru a reduce riscurile.
Pe baza unei analize a 14 milioane de acțiuni malitioase, descoperiți primele 10 tehnici MITRE ATT&CK din spatele a 93% din atacuri și cum să vă apărați împotriva lor.
Atacul de tip supply chain asupra popularului GitHub Action expune secrete CI/CD
Dezvoltatorul corupe librăriile NPM ‘colors’ și ‘faker’ afectând mii de aplicații
Hackerii nord-coreeni Lazarus infectează sute de persoane prin pachete npm
Hackerii Silk Typhoon vizează acum lanțurile de aprovizionare IT pentru a penetra rețelele
Uneltele de AI DeepSeek sunt impersonate de malware-ul infostealer pe PyPI
Leave a Reply