Um ataque em cascata na cadeia de suprimentos, que começou com a comprometimento da GitHub Action "reviewdog/action-setup@v1", é tido como o causador do recente vazamento na "tj-actions/changed-files" que expôs segredos de CI/CD.
Na semana passada, um ataque na cadeia de suprimentos na GitHub Action tj-actions/changed-files fez com que um código malicioso escrevesse segredos de CI/CD nos logs de workflow de 23.000 repositórios.
Se esses logs fossem públicos, então o atacante poderia ter roubado os segredos.
Os desenvolvedores da tj-actions não conseguem precisar exatamente como os atacantes comprometeram um token de acesso pessoal (PAT) do GitHub usado por um bot para realizar mudanças no código malicioso.
Hoje, pesquisadores da Wiz acreditam ter encontrado a resposta na forma de ataques em cascata na cadeia de suprimentos que começaram com outra GitHub action chamada 'reviewdog/action-setup'.
A empresa de cibersegurança relatou que os atacantes primeiro comprometeram a tag v1 da GitHub action reviewdog/action-setup e injetaram um código similar para despejar segredos de CI/CD em arquivos de log.
Como o tj-actions/eslint-changed-files utiliza a ação reviewdog/action-setup, acredita-se que a ação comprometida foi usada para despejar o token de acesso pessoal da tj-action e roubá-lo.
"Acreditamos que é provável que o comprometimento da reviewdog/action-setup seja a causa raiz do comprometimento do PAT do tj-actions-bot," explica a Wiz no relatório.
"tj-actions/eslint-changed-files usa reviewdog/action-setup@v1, e o repositório tj-actions/changed-files executa esta Ação tj-actions/eslint-changed-files com um Token de Acesso Pessoal."
A Ação da reviewdog foi comprometida aproximadamente no mesmo período da comprometimento do PAT tj-actions.
Os atacantes inseriram um payload codificado em base64 no install.sh, fazendo com que segredos dos workflows de CI afetados fossem expostos.
Assim como no caso do tj-actions, os segredos expostos seriam visíveis em repositórios públicos como parte dos logs de workflow.
Além da tag reviewdog/action-setup@v1 que foi confirmada como violada, as seguintes ações também podem ser impactadas:
- reviewdog/action-shellcheck
- reviewdog/action-composite-template
- reviewdog/action-staticcheck
- reviewdog/action-ast-grep
- reviewdog/action-typos
A Wiz explica que a violação de segurança na Reviewdog foi remediada incidentalmente, mas eles informaram a equipe e o GitHub de suas descobertas para prevenir reincidências.
Embora o método exato da violação não tenha sido determinado, a Wiz comenta que o review dog mantém uma ampla base de contribuidores e aceita novos membros por invites automáticos, o que naturalmente eleva o risco.
Notavelmente, se a ação permanecesse comprometida, um ataque repetido ao tj-actions/changed-files com um resultado bem-sucedido seria praticamente possível, potencialmente expondo os segredos de CI/CD recém-rotacionados.
A Wiz sugere que projetos potencialmente impactados executem esta consulta no GitHub para verificar referências à reviewdog/action-setup@v1 em repositórios.
Se payloads duplamente codificados em base64 forem encontradas em logs de workflow, isso deve ser tomado como confirmação de que seus segredos foram vazados.
Desenvolvedores devem imediatamente remover todas as referências às ações afetadas em todos os ramos, deletar logs de workflow e rotacionar quaisquer segredos potencialmente expostos.
Para prevenir comprometimentos semelhantes no futuro, fixe as GitHub Actions em hashes de commit em vez de tags de versão e use o recurso de lista de permissões do GitHub para restringir ações não autorizadas.
Esses ataques na cadeia de suprimentos e vazamentos de segredos de CI/CD estão destinados a ter um efeito duradouro nos projetos impactados, então ações rápidas são necessárias para mitigar os riscos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...