Хакерский взлом GitHub Action, привел к каскадной атаке на цепочку поставок

Недавний инцидент с утечкой секретных данных в системах CI/CD начался с компрометации GitHub Action «reviewdog/action-setup@v1» и привёл к атаке на «tj-actions/changed-files». В результате вредоносный код оказался в 23 тыс. репозиториев, записывая конфиденциальные данные в журналы рабочего процесса. Если бы эти записи стали публичными, злоумышленники получили бы доступ к украденной информации.

Разработчики проекта tj-actions не смогли установить, каким образом хакеры получили персональный токен доступа GitHub (PAT), использовавшийся для внесения вредоносных правок в код. Однако специалисты из Wiz выдвинули гипотезу, что атака развивалась каскадным способом, начавшись с другого компонента — «reviewdog/action-setup».

Компания, занимающаяся кибербезопасностью, выяснила, что вначале злоумышленники изменили тег v1 для действия reviewdog/action-setup, внедрив в него код, перехватывающий секретные данные CI/CD и отправляющий их в файлы журналов. Так как проект tj-actions/eslint-changed-files использует этот инструмент, есть вероятность, что именно на этом этапе был перехвачен персональный токен доступа tj-action.

Эксперты Wiz отмечают, что компрометация reviewdog/action-setup могла стать причиной утечки PAT tj-actions-bot. Они объясняют это тем, что проект tj-actions/eslint-changed-files интегрирован с reviewdog/action-setup@v1, а репозиторий tj-actions/changed-files запускает этот процесс, используя персональный токен. При этом взлом действия reviewdog совпадает по времени с атакой на PAT tj-actions.

Хакеры внедрили вредоносный код в файл install.sh, закодировав его с помощью base64. Этот код раскрывал секретные данные из задействованных рабочих процессов CI. Как и в случае с tj-actions, утечка информации становилась доступной в публичных репозиториях через журналы выполнения процессов.