En otro ataque más a la cadena de suministro de software, los actores de amenazas comprometieron el popular flujo de trabajo GitHub Actions, acciones geniales/problemas auxiliares, recopilaron credenciales confidenciales y ejecutaron código malicioso que se filtró a servidores controlados por atacantes.
«Todas las etiquetas existentes en el repositorio se movieron para señalar la confirmación del impostor, que no aparece en el historial de confirmación normal de la acción», dijo Varun Sharma, investigador de StepSecurity. «Esa confirmación contiene código malicioso que extrae credenciales del canal CI/CD que realiza la acción».
Las confirmaciones de impostores se refieren a una estrategia engañosa de ataque a la cadena de suministro de software que inyecta código malicioso en un proyecto haciendo referencia a confirmaciones o etiquetas que existen solo en una bifurcación controlada por el adversario en lugar de en el repositorio confiable original. Como resultado, un atacante podría eludir las revisiones estándar de solicitudes de extracción (PR) y ejecutar código arbitrario.
Según la firma de ciberseguridad, la confirmación del impostor contiene código que realiza una serie de acciones cuando se ejecuta dentro del ejecutor de GitHub Actions.
Descargue el tiempo de ejecución de Bun JavaScript en su corredor. Lee la memoria del proceso Runner.Worker y extrae las credenciales. Realiza llamadas HTTPS salientes a un dominio controlado por un atacante (‘tm-kosche(.)com’) y envía datos robados.
Según StepSecurity, 15 etiquetas asociadas con una segunda acción de GitHub, «actions-cool/maintain-one-comment», también se vieron comprometidas con la misma característica.
Posteriormente, GitHub deshabilitó el acceso al repositorio por «violación de los Términos de servicio de GitHub». Actualmente no está claro por qué la filial propiedad de Microsoft tomó esta decisión.
Curiosamente, el dominio filtrado ‘tm-kosche(.)com’ se observó en la última ola de campañas Mini Sha-Hulud dirigidas a paquetes npm en el ecosistema @antv, lo que indica que los dos grupos de actividades pueden estar relacionados.
«Cada etiqueta ahora se resuelve en una confirmación maliciosa, por lo que cualquier flujo de trabajo que haga referencia a una acción por versión extraerá el código malicioso la próxima vez que se ejecute», dijo StepSecurity. «Solo los flujos de trabajo que están anclados a un SHA de compromiso completo y en buen estado no se ven afectados».
Source link
