O ataque em cascata na cadeia de suprimentos, que inicialmente visou a Coinbase antes de se tornar mais amplo para isolar os usuários do GitHub Action "tj-actions/changed-files", foi rastreado até o roubo de um personal access token (PAT) relacionado ao SpotBugs.
"Os atacantes obtiveram acesso inicial aproveitando-se do workflow do GitHub Actions do SpotBugs, uma ferramenta open-source popular para análise estática de erros em código", disse a Palo Alto Networks Unit 42 em uma atualização esta semana.
Isso permitiu que os atacantes se movessem lateralmente entre os repositórios SpotBugs, até obter acesso ao reviewdog.
Há evidências de que a atividade maliciosa começou ainda em fins de novembro de 2024, embora o ataque contra a Coinbase não tenha ocorrido até março de 2025.
A Unit 42 afirmou que sua investigação começou com o conhecimento de que o GitHub Action do reviewdog foi comprometido devido a um PAT vazado associado ao mantenedor do projeto.
Isso, subsequentemente, permitiu aos atores da ameaça empurrar uma versão falsa de "reviewdog/action-setup" que, por sua vez, foi capturada por "tj-actions/changed-files" por estar listada como uma dependência via ação "tj-actions/eslint-changed-files".
Desde então, foi descoberto que o mantenedor também era um participante ativo em outro projeto open-source chamado SpotBugs.
Diz-se que os atacantes inseriram um arquivo de workflow malicioso do GitHub Actions no repositório "spotbugs/spotbugs" sob o nome de usuário descartável "jurkaofavak", levando ao vazamento do PAT do mantenedor quando o workflow foi executado.
Acredita-se que o mesmo PAT facilitou o acesso a ambos "spotbugs/spotbugs" e "reviewdog/action-setup", significando que o PAT vazado poderia ser abusado para contaminar "reviewdog/action-setup".
"O atacante de alguma forma tinha uma conta com permissão de escrita em spotbugs/spotbugs, que eles foram capazes de usar para empurrar um branch para o repositório e acessar os segredos de CI", disse a Unit 42.
Quanto à forma como as permissões de escrita foram obtidas, veio à luz que o usuário por trás do commit malicioso no SpotBugs, "jurkaofavak", foi convidado para o repositório como membro por um dos próprios mantenedores do projeto em 11 de março de 2025.
Em outras palavras, os atacantes conseguiram obter o PAT do repositório SpotBugs para convidar "jurkaofavak" a se tornar membro.
Isso, disse a empresa de cibersegurança, foi feito criando um fork do repositório "spotbugs/sonar-findbugs" e criando um pull request sob o nome de usuário "randolzfow".
"Em 2024-11-28T09:45:13 UTC, [o mantenedor do SpotBugs] modificou um dos workflows de 'spotbugs/sonar-findbugs' para usar seu próprio PAT, pois estava tendo dificuldades técnicas em parte de seu processo de CI/CD", explicou a Unit 42.
Em 2024-12-06 02:39:00 UTC, o atacante submeteu um pull request malicioso a spotbugs/sonar-findbugs, que explorou um workflow do GitHub Actions que usava o gatilho pull_request_target.
O gatilho "pull_request_target" é um disparador de workflow do GitHub Actions que permite que workflows executados a partir de forks acessem segredos – neste caso, o PAT – levando ao que é chamado de ataque de execução de pipeline envenenado (PPE).
O mantenedor do SpotBugs desde então confirmou que o PAT que foi usado como segredo no workflow era o mesmo token de acesso que mais tarde foi usado para convidar "jurkaofavak" para o repositório "spotbugs/spotbugs".
O mantenedor também girou todos os seus tokens e PATs para revogar e prevenir mais acessos pelos atacantes.
Uma grande incógnita em tudo isso é o intervalo de três meses entre o momento em que os atacantes vazaram o PAT do mantenedor do SpotBugs e quando o abusaram.
Suspeita-se que os atacantes estavam de olho nos projetos que dependiam de "tj-actions/changed-files" e esperaram para atingir um alvo de alto valor como a Coinbase.
"Tendo investido meses de esforço e depois de alcançar tanto, por que os atacantes imprimiram os segredos nos logs e, ao fazer isso, também revelaram seu ataque?", os pesquisadores da Unit 42 ponderaram.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...