Una investigación exhaustiva sobre el reciente ataque en cadena a GitHub Actions ha revelado que, de los 23.000 repositorios que utilizaban el componente tj-actions/changed-files, solo 218 sufrieron una exposición efectiva de datos sensibles. El análisis detallado identificó a la plataforma de criptomonedas Coinbase como el objetivo principal de los atacantes, siendo las demás afectaciones consecuencias colaterales de la operación.
Anatomía del ataque: proceso de compromiso y propagación
El vector inicial del ataque se centró en el componente reviewdog/action-setup@v1, donde los atacantes implementaron código malicioso diseñado específicamente para extraer secretos de CI/CD a través de los registros de flujos de trabajo. La comprometida infraestructura permitió a los atacantes obtener un token de acceso personal (PAT) de tj-actions/eslint-changed-files, facilitando la propagación del código malicioso a través de la cadena de suministro.
Impacto real y alcance del incidente
Los datos proporcionados por Endor Labs revelan que durante el período del 14 al 15 de marzo de 2025, 5.416 repositorios pertenecientes a 4.072 organizaciones referenciaron la acción de GitHub comprometida. Sin embargo, la ejecución efectiva del código malicioso se limitó a 614 instancias, con filtración de secretos confirmada en 218 casos. La mayoría de las credenciales expuestas fueron tokens temporales de GitHub con validez de 24 horas, aunque también se registraron compromisos en credenciales de DockerHub, npm y AWS.
Coinbase: objetivo principal del ataque sofisticado
Las investigaciones realizadas por los equipos de Palo Alto Unit 42 y Wiz confirmaron que el framework coinbase/agentkit fue el objetivo primario de los atacantes. Los perpetradores obtuvieron acceso a un token de GitHub con privilegios de escritura dos horas antes del inicio del ataque masivo. No obstante, los sistemas de seguridad de Coinbase respondieron efectivamente, neutralizando la amenaza antes de que pudiera materializarse cualquier daño significativo.
Medidas preventivas y mejores prácticas de seguridad
Este incidente ha puesto de manifiesto la crucial importancia de implementar prácticas robustas de seguridad en entornos GitHub Actions. Las medidas más efectivas incluyen la utilización de SHA de commits en lugar de tags variables, la implementación de políticas de caducidad de tokens y la monitorización rigurosa de logs públicos de CI/CD. Las vulnerabilidades identificadas han sido registradas como CVE-2025-30154 y CVE-2025-30066.
La sofisticación de este ataque evidencia la evolución continua de las amenazas dirigidas a las cadenas de suministro de software, subrayando la necesidad imperativa de adoptar estrategias de seguridad multinivel en los procesos DevOps. Se recomienda a las organizaciones implementar auditorías periódicas de sus Actions de GitHub y fortalecer sus mecanismos de protección en pipelines CI/CD, prestando especial atención a la gestión de secretos y la validación de dependencias.
