Исследователи Palo Alto Networks отследили истоки каскадной атаки на цепочку поставок GitHub Actions, которая произошла в марте 2025 года

Исследователи Palo Alto Networks отследили истоки каскадной атаки на цепочку поставок GitHub Actions, которая произошла в марте 2025 года.

Артефакты указывают на то, персональный токен доступа (PAT) SpotBugs, скомпрометированный в декабре 2024 года, лег в основу наблюдавшегося масштабного инцидента.

14 марта код GitHub tj-actions/changed-files был изменен для выполнения вредоносного кода, который сбрасывал секреты CI/CD для создания журналов, вероятно, в целях подготовки дальнейших атак.

Неделю спустя исследователи обнаружили, что изначально злоумышленники сосредоточились на эксплуатации проекта Coinbase с открытым исходным кодом.

Однако после неудачи они расширили атаку, нацелившись на все проекты, полагающиеся на скомпрометированную Actions.

Согласно дереву зависимостей примерно 160 000 проектов используют Actions напрямую или косвенно. Однако только 218 репозиториев раскрыли секреты в результате этой атаки на цепочку поставок.

На этой неделе Palo Alto Networks выкатила обновленную информацию по результатам своего расследования первопричин атаки, в которой все началось со взлома PAT в декабре прошлого года.

PAT принадлежал разработчику SpotBugs и был добавлен в конце ноября в рабочий процесс spotbugs/sonar-findbugs.

Токен был украден злоумышленником 6 декабря с помощью вредоносного запроса на извлечение, отправленного на spotbugs/sonar-findbugs для использования рабочего процесса GitHub Actions посредством триггера pull_request_target (который позволяет рабочим процессам, запускаемым из форков, получать доступ к секретам).

11 марта злоумышленники использовали PAT, чтобы пригласить злонамеренного пользователя по имени jurkaofavak в репозиторий spotbugs/spotobugs в качестве участника, что предоставило им доступ на запись.

Две минуты спустя пользователь отправил вредоносный файл рабочего процесса GitHub Actions в репозиторий, создав вредоносный рабочий процесс, который раскрыл все секреты Spotbugs/Spotbugs, включая секреты специалиста по обслуживанию Reviewdog, имеющего доступ к репозиториям SpotBugs и Reviewdog.

Рабочий процесс шифровал все доступные секреты с помощью AES и симметричный ключ с использованием жестко закодированного открытого ключа RSA, что ограничивало доступность утечек.

11 марта злоумышленник использовал утекший PAT разработчика Reviewdog, который имел разрешения на отправку тегов в репозиторий reviewdog/action-setup, чтобы переопределить тег v1 репозитория и указать на вредоносный коммит, что повлияло на всех потребителей тега.

Это привело к компрометации действия tj-actions/eslint-changed-files, которое использовало reviewdog/action-setup в качестве зависимости, что впоследствии привело к компрометации GitHub tj-actions/changed-files.

12 марта, через пять дней после того, как специалист по обслуживанию Coinbase создал рабочий процесс в coinbase/agentkit, который зависел от tj-actions/changed-files, злоумышленник подготовил атаку, создав форки tj-actions/changed-files и несколько репозиториев Coinbase.

14 марта Coinbase выполнила вредоносную версию действия GitHub tj-actions/changed-files, что привело к раскрытию токена с правами на запись.

Уязвимый рабочий процесс coinbase/agentkit был удален полтора часа спустя, но злоумышленник отправил еще один вредоносный коммит в tj-actions/changed-files, заменив все теги вредоносными коммитами.

С этого момента злоумышленник повлиял на каждый запуск рабочего процесса GitHub, зависящий от действия tj-actions/changed-files.