聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
3月14日,GitHub 操作tj-actions/changed-files的代码被修改以执行恶意代码,将 CI/CD 机密转储到构建日志中,可能是为未来攻击做准备。
一周后,安全研究员分析称攻击者最初主要利用了一个开源的 Coinbase 项目。然而,利用失败后,攻击者将攻击范围扩大到依赖于该受陷操作的所有项目。直接或间接依赖该受陷操作的项目大约为16万个,然而仅有218个仓库因该供应链攻击而暴露机密。
本周,Palo Alto Networks 公司发布调查根因分析更新报告提到,该供应链攻击始于去年12月对PAT的攻陷。该PAT 属于 SpotBugs 的一名维护人员,因CI/CD流程出现技术问题,在11月晚些时候纳入一个 spotbugs/sonar-findbugs 工作流。
12月6日,攻击者通过提交给 spotbugs/sonar-findbugs的恶意拉取请求,使用pull_request_target 触发器(允许从forks 运行的工作流访问机密)利用 GitHub Actions 工作流。
3月11日,该攻击者利用PAT 邀请名为 “jurkaofavak” 的恶意人员成为 spotbugs/spotobugs 仓库的一名成员,获得写权限。两分钟之后,该用户将一份恶意 GitHub Actions 工作流文件推送到该仓库,创建了泄露所有 spotbugs/spotbugs 机密的恶意工作流,其中包括可访问 SpotBugs 和 Reviewdog 仓库的一名 Reviewdog 维护人员的机密。
Palo Alto Networks 公司解释称,“该工作流字符串化了所有可用机密,通过AES加密并通过一个硬编码的RSA公钥加密对称性密钥,确保加密的被泄露机密及其加密密钥仅可由攻击者解密和读取。”
3月11日,攻击者使用 Reviewdog 维护人员的被泄露PAT (具有将标签推送到 reviewdog/action-setup 仓库的权限)覆盖了该仓库的v1标签,指向恶意提交,影响该标签的所有用户。这就导致 tj-actions/eslint-changed-files action 受到攻陷。该 action 将 reviewdog/action-setup 作为依赖,最终导致 tj-actions/changed-files GitHub 操作遭到攻陷。
3月12日,就在 Coinbase维护人员在依赖于 tj-actions/changed-files 的 coinbase/agentkit 中创建一个工作流后,该攻击者创建了 tj-actions/changed-files 的分叉和多个 Coinbase 仓库,准备发动攻击。
3月14日,tj-actions/changed-files GitHub 操作的恶意版本被 Coinbase 执行,导致具有写权限的令牌被暴露。一个半小时后,coinbase/agentkit 的易受攻击工作流被删除,攻击者向 tj-actions/changed-files 发送另外一个恶意提交并替换了所有标签。研究人员提到,“从该攻陷点开始,攻击者影响了依赖于 tj-actions/changed-files 操作的每个 GitHub 工作流运行。”
Palo Alto Networks 公司表示已经与 Reviewdog 和 SpotBugs 的维护人员确认了调查结果。
原文始发于微信公众号(代码卫士):GitHub Actions 供应链攻击因受陷的 SpotBugs 令牌引起
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论