El ataque de la cadena de suministro en cascada que inicialmente se dirigió a Coinbase antes de quedarse más extendido para destacar a los usuarios de la acción de GitHub «TJ-Actions/Cambied-Files» se ha rastreado más atrás con el robo de un token de acceso personal (PAT) relacionado con las casquillas de puntos.
«Los atacantes obtuvieron el acceso inicial aprovechando el flujo de trabajo de las acciones de GitHub de Spotbugs, una herramienta popular de código abierto para el análisis estático de errores en código», dijo la unidad 42 de Palo Alto Networks en una actualización esta semana. «Esto permitió a los atacantes moverse lateralmente entre repositorios de Spotbugs, hasta obtener acceso a ReviewDog».
Hay evidencia que sugiere que la actividad maliciosa comenzó desde noviembre de 2024, aunque el ataque contra Coinbase no tuvo lugar hasta marzo de 2025.
La Unidad 42 dijo que su investigación comenzó con el conocimiento de que la acción de GitHub de ReviewDog se comprometió debido a una PAT filtrada asociada con el mantenedor del proyecto, que posteriormente permitió a los actores de amenaza impulsar una versión deshonesta de «ReviewDog/Action-setup» que, a su vez, fue recogido por «TJ-TJ-TACTION/CHOLED-FILE» debido a que se listó como una dependencia de la «TJ-Actions/Eslint-Chiles.
Desde entonces se ha descubierto que el mantenedor también fue un participante activo en otro proyecto de código abierto llamado Spotbugs.
Se dice que los atacantes han empujado un archivo de flujo de trabajo de GitHub de GitHub mal al repositorio de «Spotbugs/Spotbugs» bajo el nombre de usuario desechable «Jurkaofavak», lo que hace que la palmadita del mantenedor se filtre cuando se ejecutó el flujo de trabajo.
Se cree que la misma PAT facilitó el acceso a «Spotbugs/Spotbugs» y «ReviewDog/Action-Setup», lo que significa que la PAT filtrada podría ser abusada de envenenar «revisión de dog/setup de acción».
«El atacante de alguna manera tenía una cuenta con permiso de escritura en Spotbugs/Spotbugs, que pudieron usar para llevar una rama al repositorio y acceder a los secretos de CI», dijo la Unidad 42.
En cuanto a cómo se obtuvieron los permisos de escritura, ha salido a la luz que el usuario detrás del compromiso malicioso con los spotbugs, «Jurkaofavak», fue invitado al repositorio como miembro por uno de los propietarios de proyectos el 11 de marzo de 2025.
En otras palabras, los atacantes lograron obtener la palmadita del repositorio de Spotbugs para invitar a «Jurkaofavak» a convertirse en miembro. Esto, dijo la compañía de seguridad cibernética, se llevó a cabo creando una bifurcación del repositorio «Spotbugs/Sonar-Findbugs» y creando una solicitud de extracción bajo el nombre de usuario «Randolzfow».
«En 2024-11-28T09: 45: 13 UTC, (el mantenedor Spotbugs) modificó uno de los flujos de trabajo ‘Spotbugs/Sonar-Findbugs para usar su propia PAT, ya que tenían dificultades técnicas en una parte de su proceso CI/CD», explicó la Unidad 42.
«El 2024-12-06 02:39:00 UTC, el atacante presentó una solicitud de extracción maliciosa a Spotbugs/Sonar-Findbugs, que explotó un flujo de trabajo de acciones de GitHub que usó el disparador Pull_request_Target».
El gatillo «Pull_request_Target» es un desencadenante de flujo de trabajo de GitHub Actions que permite que los flujos de trabajo que funcionen desde horquillas accedan a los secretos, en este caso, el PAT, lo que lleva a lo que se llama un ataque de ejecución de tuberías envenenado (PPE).
Desde entonces, el mantenedor de Spotbugs ha confirmado que el PAT que se usó como secreto en el flujo de trabajo era el mismo token de acceso que luego se usó para invitar a «Jurkaofavak» al repositorio «Spotbugs/Spotbugs». El mantenedor también ha girado todas sus fichas y palmaditas para revocar y evitar un mayor acceso por parte de los atacantes.
Una gran desconocida en todo esto es la brecha de tres meses entre cuando los atacantes filtraron la palmadita del mantenedor de Spotbugs y cuando la abusaron. Se sospecha que los atacantes estaban atentos a los proyectos que dependían de «TJ-Actions/Change-Files» y esperaron para alcanzar un objetivo de alto valor como Coinbase.
«Habiendo invertido meses de esfuerzo y después de lograr tanto, ¿por qué los atacantes imprimieron los secretos a los troncos, y al hacerlo, también revelaron su ataque?», Realizaron la Unidad 42 investigadores.