Дослідники продовжують вивчати каскадну атаку на ланцюжок постачань у GitHub Actions, пов’язану зі зломом tj-actions/changed-files і націлену на криптобіржу Coinbase. Як стало відомо тепер, атака почалася з крадіжки токена у розробника SpotBugs, що в підсумку дало змогу зловмисникам скомпрометувати кілька проєктів.

SpotBugs – це популярний інструмент для статичного аналізу, який був зламаний у листопаді 2024 року. У підсумку це призвело до компрометації Reviewdog, а потім до зараження tj-actions/changed-files.

Нагадаємо, що в середині березня 2025 року було виявлено компрометацію пакета tj-actions/changed-files, який входить до складу tj-actions. Це один із численних GitHub Actions на однойменній платформі, що надає безкоштовну систему CI/CD для публічних репозиторіїв. Обробник changed-files використовували у 23 000 репозиторіях, і його спробували використати для крадіжки конфіденційних даних.

Як пізніше підрахували ІБ-експерти, атака успішно розкрила секрети 218 репозиторіїв, а спочатку хакери намагалися скомпрометувати проекти, що належать криптовалютній біржі Coinbase.

Використовуючи вкрадені облікові дані, зловмисники змінили git-теги в сховищі, щоб ті вказували на шкідливий коміт, який зберігав секрети з CI runners у логах, що потенційно могло зачепити 23 000 сховищ, які використовують цей Action.

За словами експертів, те, що трапилося, підкреслює фундаментальні проблеми в ланцюжку довіри між опенсорсними репозиторіями, а також проблеми в екосистемі GitHub Actions, включно з мутабельністю тегів і недостатнім логуванням дій.

Усім проєктам і репозиторіям, які використовували скомпрометовані GitHub Actions, рекомендується негайно змінити всі секрети. А логи GitHub Actions, особливо за період з 10 по 14 березня 2025 року, слід перевірити на присутність секретів, особливо блобів у base64-кодуванні.