Serangan rantai pasokan cascading di GitHub yang menargetkan Coinbase pada bulan Maret kini telah ditelusuri kembali ke satu token yang dicuri dari alur kerja Spotbugs, yang memungkinkan aktor ancaman untuk mengkompromikan beberapa proyek GitHub.
Alat analisis statis populer Spotbugs dilanggar pada bulan November 2024, yang mengarah pada kompromi ReviewDog, yang kemudian menyebabkan infeksi aksi TJ/file yang diganti.
Serangan rantai pasokan multi-langkah akhirnya mengekspos rahasia di 218 repositori, sementara temuan terbaru menunjukkan bahwa para aktor ancaman awalnya berusaha untuk melanggar proyek yang termasuk dalam pertukaran cryptocurrency Coinbase.
Awal dari serangan itu, yang masih belum diketahui sejauh ini, ditemukan oleh unit 42 Palo Alto Networks yang menjadi peneliti yang menambahkan pembaruan Kemarin pada analisis asli mereka tentang insiden tersebut.
Serangan rantai pasokan cascading
Kita sekarang tahu bahwa serangan rantai pasokan dimulai pada akhir November 2024 ketika seorang pemelihara Spotbugs (SPTBHS_MNTNR) menambahkan token akses pribadi mereka (PAT) ke dalam alur kerja CI.
Pada 6 Desember 2024, seorang penyerang mengeksploitasi alur kerja ‘Pull_Request_Target’ yang rentan untuk mencuri Pat Pemelihara melalui permintaan tarikan jahat dari akun pengguna yang dibuang (Randolzflow).
Pada 11 Maret 2025, penyerang menggunakan PAT yang dicuri untuk mengundang pengguna boneka lain (Jurkaofavak) ke Spotbugs, yang mendorong alur kerja tindakan gitub jahat yang mengekspiltrasi Pat lain milik pemelihara ReviewDog (RD_MNTNR) yang juga memiliki akses ke spotbugs.
Pat yang dicuri memiliki akses ke ‘ReviewDog/Action-Setup‘Mengizinkan penyerang mengesampingkan tag V1 dengan komit jahat dari garpu, meracuni semua konsumen V1.
Ini menciptakan pintu belakang yang dieksekusi saat digunakan oleh ‘TJ-Actions/Eslint-Changed-Files‘yang diandalkan proyek.
Menggunakan kredensial curian, penyerang mengalahkan tag Git di repositori untuk menunjuk ke komit jahat yang akan membuang rahasia dari pelari CI ke log, berpotensi berdampak 23.000 repositori menggunakan tindakan itu. Namun, kemudian ditentukan bahwa tindakan TJ yang berbahaya hanya berkomitmen Rahasia Terkena untuk 218 Repositori.
Seperti yang diungkapkan selama investigasi pasca-insiden, penyerang menyesuaikan komitmen jahat untuk target ‘Coinbase/AgentKit.’ CI Coinbase menarik dan mengeksekusi versi tercemar pada 14 Maret 2025.
Sumber: Unit 42
Meskipun demikian, tidak ada rahasia Coinbase yang terpapar, sehingga upaya penyerang untuk mengakses infrastruktur pertukaran gagal. Perusahaan dengan cepat diberi tahu tentang upaya pelanggaran dan menghapus alur kerja.
Sekarang gambaran lengkap dari insiden itu telah dicat, menjadi jelas bahwa pelanggarannya sangat terorganisir dan direncanakan dengan cermat, mulai berbulan -bulan lebih awal dari yang diketahui sebelumnya.
Juga, insiden ini menyoroti masalah mendasar dalam rantai kepercayaan antara repositori sumber terbuka, serta masalah ekosistem aksi gitub seperti mutabilitas tag dan pencatatan audit yang buruk.
Proyek dan repositori yang menggunakan tindakan yang dikompromikan harus segera memutar semua rahasia.
Log Tindakan GitHub, terutama yang dari 10-14 Maret 2025, harus diaudit untuk tanda-tanda rahasia yang dicetak, terutama gumpalan yang dikodekan oleh Base64.
Untuk mengurangi risiko serangan serupa di masa depan, disarankan untuk menyematkan dependensi menggunakan hash komit alih -alih tag, dan hindari ‘pull_request_target’ kecuali diperlukan.
