Serangan rantai pasokan cascading yang awalnya menargetkan Coinbase sebelum menjadi lebih luas untuk memilih pengguna “aksi TJ-aksi/berganti-file” telah ditelusuri lebih jauh ke pencurian token akses pribadi (PAT) yang terkait dengan spotbugs.
“Para penyerang memperoleh akses awal dengan mengambil keuntungan dari alur kerja tindakan GitHub dari Spotbugs, alat sumber terbuka yang populer untuk analisis statis bug dalam kode,” kata Unit 42 Palo Alto Networks dalam pembaruan minggu ini. “Ini memungkinkan para penyerang untuk bergerak secara lateral antara repositori Spotbugs, sampai mendapatkan akses ke ReviewDog.”
Ada bukti yang menunjukkan bahwa kegiatan jahat dimulai sejauh November 2024, meskipun serangan terhadap Coinbase tidak terjadi sampai Maret 2025.
Unit 42 mengatakan penyelidikannya dimulai dengan pengetahuan bahwa tindakan GitHub ReviewDog dikompromikan karena Pat yang bocor yang terkait dengan pemelihara proyek, yang kemudian memungkinkan aktor ancaman untuk mendorong versi jahat “tinjauan/tindakan-filasi” yang pada gilirannya.
Sejak itu telah terungkap bahwa pengelola juga merupakan peserta aktif dalam proyek sumber terbuka lain yang disebut Spotbugs.
Para penyerang dikatakan telah mendorong file alur kerja aksi gitub jahat ke repositori “spotbugs/spotbugs” di bawah nama pengguna sekali pakai “Jurkaofavak,” menyebabkan PAT pemelihara bocor ketika alur kerja dieksekusi.
Dipercayai bahwa PAT yang sama memfasilitasi akses ke “spotbugs/spotbugs” dan “ulasan/aksi-setup,” yang berarti PAT yang bocor dapat disalahgunakan untuk meracuni “ReviewDog/Action-Setup.”
“Penyerang entah bagaimana memiliki akun dengan izin menulis di Spotbugs/Spotbugs, yang dapat mereka gunakan untuk mendorong cabang ke repositori dan mengakses rahasia CI,” kata Unit 42.
Adapun bagaimana izin tulis diperoleh, telah terungkap bahwa pengguna di belakang komitmen jahat untuk spotbugs, “Jurkaofavak,” diundang ke repositori sebagai anggota oleh salah satu pemelihara proyek sendiri pada 11 Maret 2025.
Dengan kata lain, para penyerang berhasil mendapatkan Pat of the Spotbugs Repositori untuk mengundang “Jurkaofavak” untuk menjadi anggota. Ini, kata perusahaan cybersecurity, dilakukan dengan membuat garpu repositori “spotbugs/sonar-findbugs” dan membuat permintaan tarik di bawah nama pengguna “Randolzfow.”
“Pada 2024-11-28T09: 45: 13 UTC, [the SpotBugs maintainer] Memodifikasi salah satu alur kerja 'Spotbugs/Sonar-Findbugs untuk menggunakan PAT mereka sendiri, karena mereka mengalami kesulitan teknis di bagian dari proses CI/CD mereka, “Unit 42 menjelaskan.
“Pada 2024-12-06 02:39:00 UTC, penyerang mengajukan permintaan tarikan jahat ke Spotbugs/Sonar-Findbugs, yang mengeksploitasi alur kerja tindakan GitHub yang menggunakan pemicu Pull_Request_Target.”
Pemicu “pull_request_target” adalah pemicu alur kerja tindakan GitHub yang memungkinkan alur kerja yang berjalan dari garpu untuk mengakses rahasia – dalam hal ini, PAT – yang mengarah ke apa yang disebut serangan eksekusi pipa beracun (APD).
Pemelihara Spotbugs sejak itu mengkonfirmasi bahwa PAT yang digunakan sebagai rahasia dalam alur kerja adalah token akses yang sama yang kemudian digunakan untuk mengundang “Jurkaofavak” ke repositori “Spotbugs/Spotbugs”. Pemelihara juga telah memutar semua token dan tepukan mereka untuk mencabut dan mencegah akses lebih lanjut oleh para penyerang.
Salah satu utama yang tidak diketahui dalam semua ini adalah kesenjangan tiga bulan antara ketika para penyerang membocorkan Pat Pemelihara Spotbugs dan ketika mereka melecehkannya. Diduga bahwa para penyerang mengawasi proyek-proyek yang bergantung pada “tindakan TJ-aksi/diubah” dan menunggu untuk menyerang target bernilai tinggi seperti Coinbase.
“Setelah menginvestasikan upaya berbulan -bulan dan setelah mencapai begitu banyak, mengapa para penyerang mencetak rahasia ke log, dan dengan melakukan itu, juga mengungkapkan serangan mereka?,” Unit 42 peneliti merenungkan.
