Em mais um ataque à cadeia de suprimentos de software, threat actors comprometeram o popular fluxo de trabalho do GitHub Actions, actions-cool/issues-helper, para executar código malicioso que coleta credenciais sensíveis e as exfiltra para um servidor controlado pelo invasor.
“Todas as tags existentes no repositório foram redirecionadas para apontar para um commit impostor que não aparece no histórico normal de commits da action”, afirmou o pesquisador da StepSecurity, Varun Sharma.
“Esse commit contém código malicioso que exfiltra credenciais de pipelines de CI/CD que executam a action.”
Um commit impostor é uma estratégia enganosa de ataque à cadeia de suprimentos de software em que código malicioso é injetado em um projeto por meio da referência a um commit ou tag que existe apenas em um fork controlado pelo adversário, e não no repositório original e confiável.
Com isso, os invasores conseguem contornar revisões padrão de Pull Request (PR) e obter execução arbitrária de código.
Segundo a StepSecurity, o commit impostor contém código que, ao ser executado dentro de um runner do GitHub Actions, realiza uma série de ações.
Ele baixa o ambiente de execução JavaScript Bun para o runner.
Em seguida, lê a memória do processo Runner.Worker para extrair credenciais.
Por fim, faz uma chamada HTTPS para um domínio controlado pelo invasor, “t.m-kosche[.]com”, para transmitir os dados roubados.
A StepSecurity informou ainda que 15 tags associadas a uma segunda action do GitHub, “actions-cool/maintain-one-comment”, também foram comprometidas com a mesma funcionalidade.
Desde então, o GitHub desativou o acesso ao repositório por uma “violação dos termos de serviço do GitHub”.
Até o momento, não se sabe o que levou a subsidiária da Microsoft a tomar essa decisão.
De forma curiosa, o domínio de exfiltração “t.m-kosche[.]com” foi observado na mais recente onda da campanha Mini Shai-Hulud, que tem como alvo pacotes npm do ecossistema @antv, o que indica que os dois grupos de atividade podem estar relacionados.
“Como todas as tags agora resolvem para commits maliciosos, qualquer fluxo de trabalho que referencie a action por versão acabará puxando o código malicioso na próxima execução”, disse a StepSecurity.
“Apenas fluxos de trabalho fixados em um SHA completo de commit conhecido e confiável não são afetados.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...