Ssylka

Что спровоцировало утечку секретов 218 репозиториев на GitHub?

Атака была начата через GitHub Action "tj-actions/changed-files", используемую в публичном CI/CD-процессе open-source проекта agentkit от Coinbase. Целью атаки, по всей видимости, было получение доступа к конфиденциальным данным для последующих атак.
Что спровоцировало утечку секретов 218 репозиториев на GitHub?
Изображение носит иллюстративный характер

Исследователи из Palo Alto Networks Unit 42 (Омер Гил, Авиаd Hahami, Аси Гринхолтс и Ярон Авиталь) зафиксировали, что несмотря на попытки эксплуатации секретов Coinbase, злоумышленнику не удалось их использовать или опубликовать какие-либо пакеты.

Компрометация Action "tj-actions/changed-files" была обнаружена 14 марта 2025 года, получила идентификатор CVE-2025-30066 и оценку CVSS 8.6.

Инцидент привёл к утечке секретов в 218 репозиториях, где были скомпрометированы несколько десятков учетных данных для DockerHub, npm, Amazon Web Services, а также GitHub install access tokens и кратковременные GITHUB_TOKEN, действующие только во время выполнения workflow.

Атака распространилась посредством компрометации тега v1 "reviewdog/action-setup" — зависимости для tj-actions/changed-files через tj-actions/eslint-changed-files, получив идентификатор CVE-2025-30154 с оценкой CVSS 8.6. Эксплуатация уязвимости позволила злоумышленнику получить Personal Access Token (PAT) для внесения изменений и внедрения вредоносного кода во всех зависимых репозиториях.

Технические детали указывают, что выполнение tj-actions/eslint-changed-files привело к утечке секретов CI runner, в том числе PAT для учетной записи tj-bot-actions. Атакующий использовал метод fork'ов, вносил изменения в форки с последующим созданием pull request, содержащих «подвешенные коммиты», что сопровождалось созданием множества временных аккаунтов и сокрытием информации в логах.

Подозрения вызывает неидентифицированный доступ к токену с правами записи в организации reviewdog. Учетная запись "iLrmKCu86tjwp8", инициировавшая fork pull request, могла использовать временный или анонимный email, что нарушает политику GitHub; компания активно изучает этот вопрос.

Представитель GitHub заявил, что данные инциденты не свидетельствуют о компрометации их систем, поскольку затронуты были проекты с открытым исходным кодом, поддерживаемые пользователями, и рекомендовал тщательно проверять сторонние GitHub Actions и пакеты согласно Acceptable Use Policies.

Дополнительное расследование выявило подозрительные аккаунты "2ft2dKo28UazTZ" и "mmvojwip", которые создавали форки репозиториев, связанных с Coinbase (onchainkit, agentkit, x402), и модифицировали changelog.yml в агентkit через fork pull requests, направляя на вредоносную версию tj-actions/changed-files с использованием скомпрометированного PAT.

Кампания включала применение различных полезных нагрузок: одна из них выполняла дамп памяти runner'а и выводила секреты, сохранённые в переменных среды, а другая целенаправленно извлекала GITHUB_TOKEN для репозиториев Coinbase. Омер Гил отметил, что выбор разных payload демонстрирует продуманную тактику, а смена стратегии атаки всего через 20 минут после устранения уязвимости в agentkit указывает на возможную цель финансовой выгоды и похищения криптовалюты; инцидент был устранён 19 марта 2025 года.


Новое на сайте

15761От рыночного торговца до аристократа: Джеймс Бай сменил Мартина Фаулера на мистера дарси 15760Как генетическая мутация SIK3-N783Y позволяет людям полноценно функционировать всего на 4... 15759Масштабная криптовалютная афера: более 38 000 поддоменов FreeDrain охотятся за кошельками... 15758Автомобиль форд 1940-х годов обнаружен на затонувшем американском авианосце времен второй... 15757Как растения научились имитировать запах смерти для привлечения опылителей? 15756Эволюционный трюк: как растения научились пахнуть гниющей плотью 15755Как хакеры используют уязвимости SonicWall SMA 100 для полного захвата устройств? 15754Воздушная охота на инвазивных баранов: Техас готовит новый закон 15753Почему рак у людей до 50 лет становится всё более распространённым явлением? 15752Почему упавшие на бок яйца реже трескаются: неожиданное открытие ученых? 15751Революция визуального ИИ: Copilot Vision в Microsoft Edge становится бесплатным для всех... 15750Как 109-летняя компания использует заботу о психическом здоровье для привлечения... 15749Стремительный рост Qilin: 45 кибератак в апреле 2025 года с использованием вредоноса... 15748Оскароносный режиссер Пол хаггис освобожден от обвинений в сексуальном насилии в Италии 15747Омега-блок: атмосферное явление, влияющее на погоду в США