Специалисты пришли к выводу, что каскадная атака на цепочку поставок в GitHub Actions, связанная со взломом tj-actions/changed-files и reviewdog/action-setup@v1, затронула лишь 218 репозиториев из 23 000, использующих tj-actions/changed-files. При этом основной целью злоумышленников эксперты называют криптобиржу Coinbase.
Под ударом вымогателей оказались сразу три операционные системы.
Всего за 20 минут злоумышленники превратили точечный удар в масштабное заражение.
Тысячи репозиториев, но единицы реальных угроз.
Критическая уязвимость в популярном инструменте автоматизации GitHub Actions поставила под угрозу тысячи проектов.
Исследователи считают, что к недавней компрометации пакета tj-actions/changed-files привела каскадная атака на цепочку поставок, начавшаяся со взлома GitHub Action reviewdog/action-setup@v1.
Специалисты восстановили полный таймлайн взлома GitHub.
Обнаружена компрометация пакета tj-actions/changed-files, который является частью tj-actions. Это один из многочисленных GitHub Actions на одноименной платформе, предоставляющей бесплатную систему CI/CD для публичных репозиториев. Обработчик changed files использовался в 23 000 организаций и недавно получил обновление для кражи конфиденциальных данных.
Хакеры модифицировали tj-actions/changed-files, чтобы копировать учетные данные из памяти серверов.
Фишинговая кампания поразила более 12 000 проектов за считанные дни.