De trapsgewijze aanval van de supply chain die aanvankelijk op Coinbase was gericht voordat hij meer wijdverbreid werd om gebruikers van de GitHub-actie “TJ-acties/veranderde-pilingen” te selecteren, is verder teruggebracht naar de diefstal van een persoonlijke toegangstoken (PAT) gerelateerd aan spotbugs.
“De aanvallers verkregen initiële toegang door gebruik te maken van de GitHub-actiesworkflow van spotbugs, een populaire open-source tool voor statische analyse van bugs in code,” zei Palo Alto Networks Unit 42 deze week in een update. “Dit stelde de aanvallers in staat om lateraal te bewegen tussen de repositories van Spotbugs, totdat ze toegang hebben tot ReviewDog.”
Er zijn aanwijzingen dat de kwaadaardige activiteit al in november 2024 begon, hoewel de aanval op Coinbase pas in maart 2025 plaatsvond.
Unit 42 zei dat het onderzoek begon met de wetenschap dat de GitHub-actie van ReviewDog in gevaar werd gebracht vanwege een gelekt PAT dat was geassocieerd met de onderhouder van het project, waardoor de dreigingsactoren vervolgens in staat stelde een malafide versie van “ReviewDog/Action-Setup” te pushen die op zijn beurt werd opgepikt door “TJ-acties/veranderde-voeten” vanwege de “TJ-Actions/ESlint-acties” ANDAAD.
Sindsdien is ontdekt dat de onderhouder ook een actieve deelnemer was in een ander open-source project genaamd Spotbugs.
De aanvallers zouden een workflowbestand van de GitHub -acties hebben geduwd naar de repository “Spotbugs/Spotbugs” onder de wegwerpgebruikersnaam “Jurkaofavak”, waardoor het PAT van de onderhouder werd gelekt toen de workflow werd uitgevoerd.
Er wordt aangenomen dat dezelfde PAT de toegang tot zowel “spotbugs/spotbugs” als “ReviewDog/Action-Setup”, wat betekent dat het gelekte PAT zou kunnen worden misbruikt om “ReviewDog/Action-Setup” te vergiftigen.
“De aanvaller had op de een of andere manier een account met schrijfvergunning in spotbugs/spotbugs, die ze konden gebruiken om een filiaal naar de repository te duwen en toegang te krijgen tot de CI -geheimen,” zei Unit 42.
Wat betreft hoe de schrijfrechten werden verkregen, het is aan het licht gekomen dat de gebruiker achter de kwaadaardige commit aan spotbugs, “Jurkaofavak”, als lid werd uitgenodigd door een van de projectbeheerders zelf op 11 maart 2025.
Met andere woorden, de aanvallers slaagden erin om het PAT van de Spotbugs -repository te verkrijgen om “Jurkaofavak” uit te nodigen om lid te worden. Dit, zei het Cybersecurity Company, werd uitgevoerd door een vork te maken van de “spotbugs/sonar-findbugs” -repository en het maken van een pull-aanvraag onder de gebruikersnaam “Randolzfow”.
“Op 2024-11-28T09: 45: 13 UTC, (de spotbugs-onderhouder) heeft een van de ‘spotbugs/sonar-findbugs workflows gewijzigd om hun eigen PAT te gebruiken, omdat ze technische moeilijkheden hadden in een deel van hun CI/CD-proces,’ legde eenheid 42 uit.
“Op 2024-12-06 02:39:00 UTC heeft de aanvaller een kwaadaardig pull-verzoek ingediend bij spotbugs/sonar-findbugs, die een github-actiesworkflow gebruikten die de trigger pull_request_target gebruikte.”
De “Pull_Request_Target” -trigger is een workflow -trigger van GitHub Actions waarmee workflows van vorken toegang hebben tot geheimen – in dit geval de PAT – die leidt tot wat een vergiftigde pijpleidinguitvoeringsaanval (PPE) wordt genoemd.
De onderhoud van de Spotbugs heeft sindsdien bevestigd dat het PAT dat als geheim in de workflow werd gebruikt hetzelfde was dat later werd gebruikt om “Jurkaofavak” uit te nodigen voor de “Spotbugs/Spotbugs” -repository. De beheerder heeft ook al zijn tokens en aaien gedraaid om de aanvallers in te trekken en verdere toegang te voorkomen.
Een grote onbekende in dit alles is de kloof van drie maanden tussen toen de aanvallers de Pat van de Spotbugs-onderhoudsonderhoud lekten en toen ze het misbruikten. Er wordt vermoed dat de aanvallers de projecten in de gaten hielden die afhankelijk waren van “TJ-acties/veranderde pijlen” en wachtten om een hoogwaardige doelwit zoals Coinbase te raken.
“Na maanden inspanning te hebben geïnvesteerd en na zoveel te hebben bereikt, waarom hebben de aanvallers de geheimen afgedrukt op logboeken en hebben ze daarbij ook hun aanval onthuld?”, Dachten eenheid 42 onderzoekers na.
