تم تحديد سرقة الرمز المميز لـ Spotbugs على أنه السبب الجذري لهجوم سلسلة التوريد Github
تم تتبع هجوم سلسلة التوريد المتتالية التي استهدفت في البداية كوينز كوينز قبل أن تصبح أكثر انتشارًا لمستخدمي “TJ-Actions/Shiftion Files”.بات) المتعلقة بأشعة سبوت.
“حصل المهاجمون على وصول مبدئي من خلال الاستفادة من سير عمل إجراءات GitHub من Spotbugs ، وهي أداة شهيرة مفتوحة المصدر للتحليل الثابت للأخطاء في التعليمات البرمجية” ، وحدة شبكات بالو ألتو 42 قال في تحديث هذا الأسبوع. “هذا مكّن المهاجمين من التحرك بشكل جانبي بين مستودعات Spotbugs ، حتى الحصول على الوصول إلى ReviewDog.”
هناك أدلة تشير إلى أن النشاط الضار بدأ في عودة نوفمبر 2024 ، على الرغم من أن الهجوم ضد Coinbase لم يحدث حتى مارس 2025.
وقالت الوحدة 42 إن تحقيقها بدأ بمعرفة أن إجراءات GitHub الخاصة بـ ReviewDog قد تعرض للخطر بسبب PAT المسرب المرتبط بمحشر المشروع ، والذي مكّن بعد ذلك الممثلين التهديدين من دفع نسخة مارقة من “مراجعة Develed/Action-acture” التي تم التقاطها بدورها “.
منذ ذلك الحين تم الكشف عن أن المشرف كان أيضًا مشاركًا نشطًا في مشروع آخر مفتوح المصدر يسمى Spotbugs.
يقال إن المهاجمين قد دفعوا ملف سير العمل الخبيث في إجراءات سير العمل إلى مستودع “Sotfbugs/Spotbugs” تحت اسم المستخدم الذي يمكن التخلص منه “Jurkaofavak” ، مما تسبب في تسرب Pattainer عندما تم تنفيذ سير العمل.
من المعتقد أن نفس PAT قد سهلت الوصول إلى كل من “Spotbugs/Spotbugs” و “ReviewDog/Action-setup” ، مما يعني أنه يمكن إساءة معاملة PAT التي تم تسريبها إلى تسمم “مراجعة/عمل العمل”.
وقالت الوحدة 42: “كان لدى المهاجم بطريقة أو بأخرى حساب بإذن من الكتابة في سباستيك/سبوتية ، والتي تمكنوا من استخدامها لدفع فرع إلى المستودع والوصول إلى أسرار CI”.
أما بالنسبة لكيفية الحصول على أذونات الكتابة ، فقد تمت دعوة المستخدم الذي يقف وراء الالتزام الخبيث بأمراض Spotbugs ، “Jurkaofavak” ، إلى المستودع كعضو من قبل أحد المشاريع المشروع أنفسهم في 11 مارس 2025.
وبعبارة أخرى ، تمكن المهاجمون من الحصول على مستودع PAT من SPOTBUGS لدعوة “Jurkaofavak” لتصبح عضوًا. وقالت شركة الأمن السيبراني ، إن هذه الشركة تم تنفيذها من خلال إنشاء شوكة من مستودع “Spotbugs/Sonar-Findbugs” وإنشاء طلب سحب تحت اسم المستخدم “Randolzfow”.
“في 2024-11-28T09: 45: 13 UTC ، [the SpotBugs maintainer] أوضحت الوحدة 42 أن أحد سير عمل “سباستيس/سونار-فندبوجز سير العمل لاستخدام PAT الخاص بهم ، حيث كانوا يواجهون صعوبات تقنية في جزء من عملية CI/CD”.
“في 2024-12-06 02:39:00 UTC ، قدم المهاجم أ طلب سحب ضار إلى spotbugs/sonar-findbugs ، والتي استغلت سير عمل الإجراءات github التي استخدمت pull_request_target مشغل.”
إن TRIGGER “Pull_request_target” عبارة عن مشغل سير العمل على إجراءات GitHub يسمح لسير العمل من فوركس للوصول إلى الأسرار – في هذه الحالة ، بات – مما يؤدي إلى ما يسمى هجوم تنفيذ خط أنابيب مسموم (PPE).
أكد مشرف Spotbugs منذ ذلك الحين أن PAT الذي تم استخدامه كسر في سير العمل هو نفس الرمز المميز للوصول الذي تم استخدامه لاحقًا لدعوة “Jurkaofavak” إلى مستودع “Spotbugs/Spotbugs”. قام المشروع أيضًا بتدوير جميع الرموز والراتين لإلغاء ومنع المزيد من الوصول من قبل المهاجمين.
أحد الكبار المجهولين في كل هذا هو الفجوة التي استمرت ثلاثة أشهر بين عندما تسرب المهاجمون إلى Patbugs Patchainer’s Pat وعندما أساءوا إليها. يشتبه في أن المهاجمين كانوا يراقبون المشاريع التي تعتمد على “TJ-Actions/changefiles” وانتظروا ضرب هدف ذي قيمة عالية مثل Coinbase.
“بعد أن استثمرت أشهر من الجهد وبعد تحقيق الكثير ، لماذا قام المهاجمون بطباعة الأسرار على السجلات ، وبذلك تكشف أيضًا عن هجومهم؟” ، تفكر الباحثون في الوحدة 42.
إرسال التعليق