Тег v1: нулевой пациент атаки на цепочку поставок GitHub
NewsMakerСпециалисты восстановили полный таймлайн взлома GitHub.
Недавняя атака на цепочку поставок популярного действия GitHub tj-actions/changed-files привела к утечке секретных данных из множества репозиториев. Специалисты Wiz обнаружили дополнительную атаку на reviewdog/action-setup@v1, которая могла способствовать компрометации tj-actions/changed-files. По данным Wiz, это может быть цепочка атак, направленная на конкретную высокоценную цель.
Согласно отчету, злоумышленники сначала скомпрометировали тег v1 для reviewdog/action-setup и внедрили код, который также направлял секретные данные CI/CD в файлы логов. Поскольку tj-actions/eslint-changed-files использует действие reviewdog/action-setup, предполагается, что компрометация привела к утечке персонального токена tj-actions.
Компрометация reviewdog/action-setup произошла 11 марта в период между 18:42 и 20:31 UTC, когда тег v1 был перенаправлен на вредоносный коммит, а затем возвращён к предыдущему состоянию. Это говорит о том, что киберпреступники действовали скрытно и пытались замести следы.
Уязвимость в reviewdog возникла в тот же временной период, что и компрометация токена tj-actions. Хакеры внедрили в скрипт install.sh закодированную (Base64) полезную нагрузку, которая позволяла извлекать секретные данные из рабочих процессов CI. На данный момент не зафиксировано случаев передачи данных на внешние серверы злоумышленников. Однако утечки могли быть обнаружены внутри самих репозиториев.
Кроме подтвержденного взлома тега reviewdog/action-setup@v1, под угрозой могли оказаться и другие действия:
Wiz рекомендует разработчикам проверить свои репозитории на наличие ссылок на reviewdog/action-setup@v1 с помощью запроса в GitHub. Если в логах рабочих процессов обнаружены дважды закодированные (Base64) строки, это может свидетельствовать об утечке секретов.
Для устранения последствий атаки следует:
Недавняя атака на цепочку поставок популярного действия GitHub tj-actions/changed-files привела к утечке секретных данных из множества репозиториев. Специалисты Wiz обнаружили дополнительную атаку на reviewdog/action-setup@v1, которая могла способствовать компрометации tj-actions/changed-files. По данным Wiz, это может быть цепочка атак, направленная на конкретную высокоценную цель.
Согласно отчету, злоумышленники сначала скомпрометировали тег v1 для reviewdog/action-setup и внедрили код, который также направлял секретные данные CI/CD в файлы логов. Поскольку tj-actions/eslint-changed-files использует действие reviewdog/action-setup, предполагается, что компрометация привела к утечке персонального токена tj-actions.
Компрометация reviewdog/action-setup произошла 11 марта в период между 18:42 и 20:31 UTC, когда тег v1 был перенаправлен на вредоносный коммит, а затем возвращён к предыдущему состоянию. Это говорит о том, что киберпреступники действовали скрытно и пытались замести следы.
Уязвимость в reviewdog возникла в тот же временной период, что и компрометация токена tj-actions. Хакеры внедрили в скрипт install.sh закодированную (Base64) полезную нагрузку, которая позволяла извлекать секретные данные из рабочих процессов CI. На данный момент не зафиксировано случаев передачи данных на внешние серверы злоумышленников. Однако утечки могли быть обнаружены внутри самих репозиториев.
Кроме подтвержденного взлома тега reviewdog/action-setup@v1, под угрозой могли оказаться и другие действия:
- reviewdog/action-shellcheck
- reviewdog/action-composite-template
- reviewdog/action-staticcheck
- reviewdog/action-ast-grep
- reviewdog/action-typos
Wiz рекомендует разработчикам проверить свои репозитории на наличие ссылок на reviewdog/action-setup@v1 с помощью запроса в GitHub. Если в логах рабочих процессов обнаружены дважды закодированные (Base64) строки, это может свидетельствовать об утечке секретов.
Для устранения последствий атаки следует:
- немедленно удалить все ссылки на скомпрометированные действия;
- удалить логи рабочих процессов, где могли утечь секретные данные;
- перегенерировать все потенциально скомпрометированные секретные ключи.