En otro ataque más a la cadena de suministro de software, los actores de amenazas han comprometido el popular flujo de trabajo de GitHub Actions. acciones-cool/problemas-ayudantepara ejecutar código malicioso que recopila credenciales confidenciales y las exfiltra a un servidor controlado por un atacante.
“Todas las etiquetas existentes en el repositorio se han movido para señalar un compromiso impostor que no aparece en el historial de compromiso normal de la acción”, dijo el investigador de StepSecurity, Varun Sharma. “Esa confirmación contiene código malicioso que extrae credenciales de los canales de CI/CD que ejecutan la acción”.
Un compromiso impostor se refiere a una estrategia engañosa de ataque a la cadena de suministro de software en la que se inyecta código malicioso en un proyecto haciendo referencia a un compromiso o etiqueta que existe solo en una bifurcación controlada por el adversario, en lugar del repositorio confiable original. Como resultado, los atacantes pueden eludir las revisiones estándar de solicitudes de extracción (PR) y lograr la ejecución de código arbitrario.
El compromiso del impostor, según la empresa de ciberseguridad, contiene código que, al ejecutarse dentro de un ejecutor de GitHub Actions, realiza una serie de acciones:
- Descarga el tiempo de ejecución de Bun JavaScript al ejecutor.
- Lee la memoria del proceso Runner.Worker para extraer las credenciales.
- Realiza una llamada HTTPS saliente a un dominio controlado por un atacante (“tm-kosche(.)com”) para transmitir los datos robados.
StepSecurity dijo que 15 etiquetas asociadas con una segunda acción de GitHub, “actions-cool/maintain-one-comment”, también se han visto comprometidas con la misma funcionalidad.
Desde entonces, GitHub ha deshabilitado el acceso al repositorio debido a una “violación de los términos de servicio de GitHub”. Actualmente no se sabe qué llevó a la filial propiedad de Microsoft a tomar esta decisión.
Curiosamente, el dominio de exfiltración “tm-kosche(.)com” se ha observado en la última ola de la campaña Mini Shai-Hulud dirigida a paquetes npm del ecosistema @antv, lo que indica que los dos grupos de actividad podrían estar relacionados.
En una declaración compartida con The Hacker News, Philipp Burckhardt, jefe de inteligencia de amenazas en Socket, dijo que el compromiso @antv npm probablemente esté relacionado con el hack de acciones geniales, citando superposiciones en el dominio de exfiltración.
“Eso apunta al mismo grupo de actividad de Mini Shai-Hulud, no a un incidente separado exclusivo de npm”, añadió Burckhardt. “Todavía estamos teniendo cuidado con la ruta de acceso inicial exacta, pero la superposición es lo suficientemente fuerte como para tratarlos como relacionados”.
“Debido a que ahora cada etiqueta se resuelve en confirmaciones maliciosas, cualquier flujo de trabajo que haga referencia a la acción por versión extrae el código malicioso en su próxima ejecución”, dijo StepSecurity. “Solo los flujos de trabajo anclados a un SHA de compromiso completo en buen estado no se ven afectados”.
(La historia se actualizó después de la publicación para incluir una respuesta de Socket).
