Η επίθεση αλυσίδας εφοδιασμού GitHub εντοπίστηκε σε SpotBugs tokens
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η επίθεση αλυσίδας εφοδιασμού GitHub εντοπίστηκε σε SpotBugs tokens
https://www.secnews.gr/645342/epithesi-alisidas-eodiasmou-github-entopistike-spotbugs-tokens/
Apr 4th 2025, 12:55
by Absenta Mia
Μια επίθεση αλυσίδας εφοδιασμού που επηρεάζει το GitHub και στόχευσε την Coinbase τον Μάρτιο, έχει πλέον εντοπιστεί ότι προήλθε από ένα token που κλάπηκε από μια ροή εργασίας του SpotBugs, επιτρέποντας σε έναν κακόβουλο παράγοντα να παραβιάσει πολλαπλά έργα στο GitHub.
Δείτε επίσης: GitHub: Ενημερώνει το Advanced Security για περισσότερη ασφάλεια
Το δημοφιλές εργαλείο στατικής ανάλυσης SpotBugs παραβιάστηκε τον Νοέμβριο του 2024, με αποτέλεσμα την παραβίαση του Reviewdog, που με τη σειρά του οδήγησε στη μόλυνση του tj-actions/changed-files.
Η επίθεση αλυσίδας εφοδιασμού, που περιλάμβανε πολλαπλά βήματα, αποκάλυψε τελικά μυστικά σε 218 αποθετήρια, ενώ οι τελευταίες ανακαλύψεις έδειξαν ότι οι κακόβουλοι παράγοντες προσπαθούσαν αρχικά να παραβιάσουν έργα που ανήκουν στo ανταλλακτήριο κρυπτονομισμάτων Coinbase.
Η αρχή της επίθεσης, η οποία παρέμενε άγνωστη μέχρι τώρα, ανακαλύφθηκε από τους ερευνητές της Unit 42 της Palo Alto Networks, οι οποίοι προσέθεσαν μια ενημέρωση χθες στην αρχική τους ανάλυση του περιστατικού.
Τώρα γνωρίζουμε ότι η επίθεση στην αλυσίδα εφοδιασμού ξεκίνησε στα τέλη Νοεμβρίου 2024, όταν ένας συντηρητής του SpotBugs (SPTBHS_MNTNR) εισήγαγε το προσωπικό του διακριτικό πρόσβασης (PAT) σε μια ροή εργασίας CI. Στις 6 Δεκεμβρίου 2024, ένας επιτιθέμενος εκμεταλλεύτηκε μια ευάλωτη ροή εργασίας 'pull_request_target' για να κλέψει το PAT του συντηρητή μέσω μιας κακόβουλης αίτησης pull από έναν λογαριασμό χρήστη που δημιουργήθηκε για αυτόν τον σκοπό (randolzflow).
Δείτε ακόμα: Η Coinbase ήταν ο στόχος των παραβιάσεων του GitHub Actions
Στις 11 Μαρτίου 2025, ο επιτιθέμενος χρησιμοποίησε το κλεμμένο PAT για να προσκαλέσει έναν άλλο ψεύτικο χρήστη (jurkaofavak) στο SpotBugs, ο οποίος προώθησε μια κακόβουλη ροή εργασίας GitHub Actions που εξήγαγε ένα ακόμη PAT που ανήκε σε έναν συντηρητή του Reviewdog (RD_MNTNR) που είχε επίσης πρόσβαση στο SpotBugs.
Η κλεμμένη PAT είχε δικαίωμα εγγραφής στο 'reviewdog/action-setup', επιτρέποντας στον επιτιθέμενο να αντικαταστήσει την ετικέτα v1 με μια κακόβουλη δέσμευση από ένα fork, επηρεάζοντας όλους τους χρήστες της v1. Αυτό δημιούργησε ένα backdoor, που εκτελέστηκε όταν χρησιμοποιήθηκε από το 'tj-actions/eslint-changed-files', το οποίο ήταν απαραίτητο για το έργο.
Χρησιμοποιώντας κλεμμένα διαπιστευτήρια SpotBugs, ο επιτιθέμενος αντικατέστησε τις ετικέτες git στο αποθετήριο ώστε να δείχνουν σε μια κακόβουλη δέσμευση που θα αποκάλυπτε μυστικά από τους CI runners στα logs, επηρεάζοντας δυνητικά 23.000 αποθετήρια GitHub που χρησιμοποιούσαν αυτή τη δράση. Ωστόσο, αργότερα διαπιστώθηκε ότι η κακόβουλη δέσμευση του tj-actions αποκάλυψε μυστικά μόνο για 218 αποθετήρια.
Όπως αποκαλύφθηκε κατά τη διάρκεια των μετέπειτα ερευνών, ο επιτιθέμενος προσαρμόσε την κακόβουλη δέσμευση ώστε να στοχεύει το 'coinbase/agentkit.' Η CI της Coinbase αντλούσε και εκτελούσε την μολυσμένη έκδοση στις 14 Μαρτίου 2025.
Παρά ταύτα, δεν αποκαλύφθηκαν μυστικά της Coinbase, επομένως η προσπάθεια του επιτιθέμενου να αποκτήσει πρόσβαση στην υποδομή της πλατφόρμας απέτυχε. Η εταιρεία ενημερώθηκε άμεσα για την απόπειρα παραβίασης και αντέτεινε την διαδικασία.
Δείτε επίσης: Valve Steam: Αφαίρεση game demo που μόλυνε συστήματα με info-stealer
Μία επίθεση αλυσίδας εφοδιασμού (supply chain attack) αναφέρεται σε μια επίθεση στον τομέα της ασφάλειας, όπου οι επιτιθέμενοι στοχεύουν να προσβάλλουν έναν οργανισμό μέσω αδυναμιών σε έναν από τους προμηθευτές ή συνεργάτες του. Αυτή η στρατηγική εκμεταλλεύεται τη σύνθετη φύση της αλυσίδας εφοδιασμού, η οποία περιλαμβάνει πολλές εταιρείες που παρέχουν διάφορα προϊόντα ή υπηρεσίες σε έναν οργανισμό. Οι επιθέσεις αλυσίδας εφοδιασμού είναι ιδιαίτερα επικίνδυνες λόγω της δυσκολίας εντοπισμού τους και της εκτεταμένης ζημιάς που μπορούν να προκαλέσουν.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η επίθεση αλυσίδας εφοδιασμού GitHub εντοπίστηκε σε SpotBugs tokens
https://www.secnews.gr/645342/epithesi-alisidas-eodiasmou-github-entopistike-spotbugs-tokens/
Apr 4th 2025, 12:55
by Absenta Mia
Μια επίθεση αλυσίδας εφοδιασμού που επηρεάζει το GitHub και στόχευσε την Coinbase τον Μάρτιο, έχει πλέον εντοπιστεί ότι προήλθε από ένα token που κλάπηκε από μια ροή εργασίας του SpotBugs, επιτρέποντας σε έναν κακόβουλο παράγοντα να παραβιάσει πολλαπλά έργα στο GitHub.
Δείτε επίσης: GitHub: Ενημερώνει το Advanced Security για περισσότερη ασφάλεια
Το δημοφιλές εργαλείο στατικής ανάλυσης SpotBugs παραβιάστηκε τον Νοέμβριο του 2024, με αποτέλεσμα την παραβίαση του Reviewdog, που με τη σειρά του οδήγησε στη μόλυνση του tj-actions/changed-files.
Η επίθεση αλυσίδας εφοδιασμού, που περιλάμβανε πολλαπλά βήματα, αποκάλυψε τελικά μυστικά σε 218 αποθετήρια, ενώ οι τελευταίες ανακαλύψεις έδειξαν ότι οι κακόβουλοι παράγοντες προσπαθούσαν αρχικά να παραβιάσουν έργα που ανήκουν στo ανταλλακτήριο κρυπτονομισμάτων Coinbase.
Η αρχή της επίθεσης, η οποία παρέμενε άγνωστη μέχρι τώρα, ανακαλύφθηκε από τους ερευνητές της Unit 42 της Palo Alto Networks, οι οποίοι προσέθεσαν μια ενημέρωση χθες στην αρχική τους ανάλυση του περιστατικού.
Τώρα γνωρίζουμε ότι η επίθεση στην αλυσίδα εφοδιασμού ξεκίνησε στα τέλη Νοεμβρίου 2024, όταν ένας συντηρητής του SpotBugs (SPTBHS_MNTNR) εισήγαγε το προσωπικό του διακριτικό πρόσβασης (PAT) σε μια ροή εργασίας CI. Στις 6 Δεκεμβρίου 2024, ένας επιτιθέμενος εκμεταλλεύτηκε μια ευάλωτη ροή εργασίας 'pull_request_target' για να κλέψει το PAT του συντηρητή μέσω μιας κακόβουλης αίτησης pull από έναν λογαριασμό χρήστη που δημιουργήθηκε για αυτόν τον σκοπό (randolzflow).
Δείτε ακόμα: Η Coinbase ήταν ο στόχος των παραβιάσεων του GitHub Actions
Στις 11 Μαρτίου 2025, ο επιτιθέμενος χρησιμοποίησε το κλεμμένο PAT για να προσκαλέσει έναν άλλο ψεύτικο χρήστη (jurkaofavak) στο SpotBugs, ο οποίος προώθησε μια κακόβουλη ροή εργασίας GitHub Actions που εξήγαγε ένα ακόμη PAT που ανήκε σε έναν συντηρητή του Reviewdog (RD_MNTNR) που είχε επίσης πρόσβαση στο SpotBugs.
Η κλεμμένη PAT είχε δικαίωμα εγγραφής στο 'reviewdog/action-setup', επιτρέποντας στον επιτιθέμενο να αντικαταστήσει την ετικέτα v1 με μια κακόβουλη δέσμευση από ένα fork, επηρεάζοντας όλους τους χρήστες της v1. Αυτό δημιούργησε ένα backdoor, που εκτελέστηκε όταν χρησιμοποιήθηκε από το 'tj-actions/eslint-changed-files', το οποίο ήταν απαραίτητο για το έργο.
Χρησιμοποιώντας κλεμμένα διαπιστευτήρια SpotBugs, ο επιτιθέμενος αντικατέστησε τις ετικέτες git στο αποθετήριο ώστε να δείχνουν σε μια κακόβουλη δέσμευση που θα αποκάλυπτε μυστικά από τους CI runners στα logs, επηρεάζοντας δυνητικά 23.000 αποθετήρια GitHub που χρησιμοποιούσαν αυτή τη δράση. Ωστόσο, αργότερα διαπιστώθηκε ότι η κακόβουλη δέσμευση του tj-actions αποκάλυψε μυστικά μόνο για 218 αποθετήρια.
Όπως αποκαλύφθηκε κατά τη διάρκεια των μετέπειτα ερευνών, ο επιτιθέμενος προσαρμόσε την κακόβουλη δέσμευση ώστε να στοχεύει το 'coinbase/agentkit.' Η CI της Coinbase αντλούσε και εκτελούσε την μολυσμένη έκδοση στις 14 Μαρτίου 2025.
Παρά ταύτα, δεν αποκαλύφθηκαν μυστικά της Coinbase, επομένως η προσπάθεια του επιτιθέμενου να αποκτήσει πρόσβαση στην υποδομή της πλατφόρμας απέτυχε. Η εταιρεία ενημερώθηκε άμεσα για την απόπειρα παραβίασης και αντέτεινε την διαδικασία.
Δείτε επίσης: Valve Steam: Αφαίρεση game demo που μόλυνε συστήματα με info-stealer
Μία επίθεση αλυσίδας εφοδιασμού (supply chain attack) αναφέρεται σε μια επίθεση στον τομέα της ασφάλειας, όπου οι επιτιθέμενοι στοχεύουν να προσβάλλουν έναν οργανισμό μέσω αδυναμιών σε έναν από τους προμηθευτές ή συνεργάτες του. Αυτή η στρατηγική εκμεταλλεύεται τη σύνθετη φύση της αλυσίδας εφοδιασμού, η οποία περιλαμβάνει πολλές εταιρείες που παρέχουν διάφορα προϊόντα ή υπηρεσίες σε έναν οργανισμό. Οι επιθέσεις αλυσίδας εφοδιασμού είναι ιδιαίτερα επικίνδυνες λόγω της δυσκολίας εντοπισμού τους και της εκτεταμένης ζημιάς που μπορούν να προκαλέσουν.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια