Etiquetas de acción populares de GitHub redirigidas al impostor que se compromete a robar credenciales de CI/CD – CYBERDEFENSA.MX
admin Noticias, Trending
Etiquetas de acción populares de GitHub redirigidas al impostor que se compromete a robar credenciales de CI/CD – CYBERDEFENSA.MX

En otro ataque más a la cadena de suministro de software, los actores de amenazas han comprometido el popular flujo de trabajo de GitHub Actions. acciones-cool/problemas-ayudantepara ejecutar código malicioso que recopila credenciales confidenciales y las exfiltra a un servidor controlado por un atacante.

«Todas las etiquetas existentes en el repositorio se han movido para señalar una confirmación impostor que no aparece en el historial de confirmación normal de la acción», dijo el investigador de StepSecurity, Varun Sharma. dicho. «Esa confirmación contiene código malicioso que extrae credenciales de los canales de CI/CD que ejecutan la acción».

Un compromiso de impostor se refiere a una estrategia engañosa de ataque a la cadena de suministro de software en la que se inyecta código malicioso en un proyecto haciendo referencia a una confirmación o etiqueta que existe solo en una bifurcación controlada por el adversario, en lugar del repositorio confiable original. Como resultado, los atacantes pueden eludir las revisiones estándar de solicitudes de extracción (PR) y lograr la ejecución de código arbitrario.

Ciberseguridad

El compromiso del impostor, según la empresa de ciberseguridad, contiene código que, al ejecutarse dentro de un ejecutor de GitHub Actions, realiza una serie de acciones:

  • Descarga el tiempo de ejecución de Bun JavaScript al ejecutor.
  • Lee la memoria del proceso Runner.Worker para extraer las credenciales.
  • Realiza una llamada HTTPS saliente a un dominio controlado por un atacante («tm-kosche[.]com») para transmitir los datos robados.

StepSecurity dijo que 15 etiquetas asociadas con una segunda acción de GitHub, «actions-cool/maintain-one-comment», también se han visto comprometidas con la misma funcionalidad.

GitHub desde entonces acceso deshabilitado al repositorio debido a una «violación de los términos de servicio de GitHub». Actualmente no se sabe qué llevó a la filial propiedad de Microsoft a tomar esta decisión.

Curiosamente, el dominio de exfiltración «tm-kosche[.]com» se ha observado en la última ola de la campaña Mini Shai-Hulud dirigida a paquetes npm del ecosistema @antv, lo que indica que los dos grupos de actividad podrían estar relacionados.

«Debido a que ahora cada etiqueta se resuelve en confirmaciones maliciosas, cualquier flujo de trabajo que haga referencia a la acción por versión extrae el código malicioso en su próxima ejecución», dijo StepSecurity. «Solo los flujos de trabajo anclados a un SHA de compromiso completo en buen estado no se ven afectados».