Специалисты Palo Alto Networks завершили расследование масштабной атаки на цепочку поставок в экосистеме GitHub Actions, выявив полную хронологию событий и механизмы компрометации. Инцидент, затронувший более 23 000 репозиториев, начался с компрометации популярного инструмента статического анализа SpotBugs в ноябре 2024 года.
Анатомия многоступенчатой атаки
Исследование показало, что атака началась после того, как один из разработчиков SpotBugs добавил свой Personal Access Token (PAT) в CI-пайплайн. Злоумышленники использовали уязвимость в процессе pull_request_target для хищения токена через вредоносный пулл-реквест. Впоследствии они применили похищенные учетные данные для компрометации других проектов, включая Reviewdog и tj-actions/changed-files.
Технические аспекты компрометации
Атакующие использовали многоэтапный подход для достижения своих целей. После получения первоначального доступа они внедрили вредоносный код в популярный пакет tj-actions/changed-files. Модифицированный компонент был настроен на извлечение конфиденциальных данных из CI/CD-процессов и их запись в публичные логи.
Масштаб воздействия и целевые активы
В результате атаки были скомпрометированы секреты 218 репозиториев. Основной целью злоумышленников являлись проекты криптовалютной биржи Coinbase, хотя компания заявила, что попытка взлома их инфраструктуры не увенчалась успехом.
Выявленные уязвимости в инфраструктуре GitHub
Инцидент выявил серьезные проблемы в архитектуре безопасности GitHub Actions, включая недостатки в системе управления тегами и ограниченные возможности аудита действий пользователей. Особую озабоченность вызывает возможность модификации существующих тегов и недостаточный контроль над цепочкой доверия между взаимосвязанными репозиториями.
Для минимизации рисков подобных инцидентов рекомендуется немедленно обновить все секреты в затронутых репозиториях и провести аудит логов GitHub Actions за период с 10 по 14 марта 2025 года. Особое внимание следует уделить проверке наличия конфиденциальной информации в base64-кодированных данных. Этот случай подчеркивает критическую важность регулярного аудита безопасности и применения принципа наименьших привилегий при настройке CI/CD-процессов.
