“TJ-Actions/Chaned Files” GitHub eyleminin tek dışarı kullanıcılarına daha yaygın hale gelmeden önce Coinbase’i başlangıçta hedefleyen basamaklı tedarik zinciri saldırısı, spot medikleri ile ilgili kişisel erişim belirtecinin (PAT) hırsızlığına kadar izlendi.
Palo Alto Networks Unit 42, bu hafta bir güncellemede, “Saldırganlar, koddaki hataların statik analizi için popüler bir açık kaynak aracı olan Spotbugs’un GitHub Eylemler iş akışından yararlanarak ilk erişim elde etti.” Dedi. Diyerek şöyle devam etti: “Bu, saldırganların inceleme doruklarına erişim elde edene kadar spotbugs depoları arasında yanal olarak hareket etmesini sağladı.”
Madakatçi aktivitenin Kasım 2024’e kadar başladığını gösteren kanıtlar var, ancak Coinbase’e karşı saldırı Mart 2025’e kadar gerçekleşmedi.
Ünite 42, soruşturmasının, ReviewDog’un GitHub eyleminin, projenin bakımı ile ilişkili sızdırılmış bir pat nedeniyle tehlikeye atıldığını ve daha sonra tehdit aktörlerinin “ReviewDog/Action-Setup” nun haydut bir versiyonunu, “tj-eylemler” tarafından “tj-eylemler” tarafından seçildiği için seçilmesini sağladığını söyledi.
O zamandan beri koruyucu, Spotbugs adlı başka bir açık kaynaklı projede aktif bir katılımcı olduğu ortaya çıktı.
Saldırganların kötü amaçlı GitHub eylemleri iş akışı dosyasını “Jurkaofavak” kullanıcı adı altında “Spotbugs/Spotbugs” deposuna ittiği söyleniyor ve bu da iş akışı yürütüldüğünde bakıcının patının sızmasına neden oluyor.
Aynı PAT’ın hem “spotbugs/spotbugs” hem de “ReviewDog/Action-Setup” a erişimi kolaylaştırdığına inanılıyor, yani sızdırılan Pat “ReviewDog/Action-Setup” ı zehirlemek için istismar edilebilir.
Ünite 42, “Saldırganın bir şekilde bir şubeyi depoya itmek ve CI sırlarına erişmek için kullanabildikleri Spotbugs/Spotbugs’da yazma izni olan bir hesabı vardı.” Dedi.
Yazma izinlerinin nasıl elde edildiğine gelince, spotbuglara kötü niyetli taahhütlerin arkasındaki kullanıcının, “Jurkaofavak” ın, 11 Mart 2025’te proje koruyucularından biri tarafından üye olarak davet edildiği ortaya çıktı.
Başka bir deyişle, saldırganlar “Jurkaofavak” ı üye olmaya davet etmek için Spotbugs deposunun patını almayı başardılar. Siber güvenlik şirketi, “Spotbugs/Sonar-Findbugs” deposunun çatalını oluşturarak ve “Randolzfow” kullanıcı adı altında bir çekme isteği oluşturarak gerçekleştirildiğini söyledi.
“2024-11-28T09: 45: 13 UTC, [the SpotBugs maintainer] Ünite 42, ‘Spotbugs/Sonar-Findbugs iş akışlarından birini kendi PAT’larını kullanmak için değiştirdi, çünkü CI/CD işlemlerinin bir bölümünde teknik zorluklar yaşıyorlardı.’
“2024-12-06 02:39:00 UTC’de saldırgan, Pull_Request_Target Tricger’ı kullanan bir GitHub Eylemleri iş akışını kullanan Spotbugs/Sonar-Findbugs’a kötü amaçlı bir çekme isteği gönderdi.”
“Pull_Request_Target” tetikleyicisi, çatallardan sırlara erişmek için çalışan iş akışlarının – bu durumda PAT – zehirli boru hattı yürütme saldırısı (PPE) olarak adlandırılan bir GitHub Eylemleri iş akışı tetikleyicisidir.
Spotbugs koruyucu, o zamandan beri iş akışında bir sır olarak kullanılan PAT’ın daha sonra “Jurkaofavak” ı “Spotbugs/Spotbugs” deposuna davet etmek için kullanılan aynı erişim belirteci olduğunu doğruladı. Bakım, saldırganların daha fazla erişimi iptal etmek ve önlemek için tüm jetonlarını ve pats’larını da döndürdü.
Bütün bunlarda bilinmeyen bir büyük kişi, saldırganların Spotbugs Bakımcının Pat’ı sızdırması ile istismar ettikleri zaman arasındaki üç aylık boşluktur. Saldırganların “TJ-Actions/Değişmiş Dosyalara” bağlı projelere dikkat ettiklerinden ve Coinbase gibi yüksek değerli bir hedefe çarpmayı beklediğinden şüpheleniliyor.
Birim 42 araştırmacıları, “Aylarca çaba harcadıktan ve bu kadar çok şey başardıktan sonra, saldırganlar neden sırları kütüklere yazdırdılar ve bunu yaparken saldırılarını da ortaya çıkardılar?”