Teg v1: paciente cero del ataque a la cadena de suministro de GitHub

El reciente ataque a la cadena de suministro de la popular acción de GitHub tj-actions/changed-files resultó en la filtración de datos secretos de múltiples repositorios. Los especialistas de Wiz descubrieron un ataque adicional a reviewdog/action-setup@v1, que podría haber contribuido a la compromisión de tj-actions/changed-files. Según Wiz, esto podría ser una cadena de ataques dirigida a un objetivo específico de alto valor.

Según el informe, los atacantes primero comprometieron la etiqueta v1 de reviewdog/action-setup e implementaron un código que también enviaba datos secretos CI/CD a archivos de registro. Dado que tj-actions/eslint-changed-files utiliza la acción reviewdog/action-setup, se supone que la compromisión llevó a la filtración del token personal de tj-actions.

La compromisión de reviewdog/action-setup ocurrió el 11 de marzo entre las 18:42 y las 20:31 UTC, cuando la etiqueta v1 fue redirigida a un commit malicioso y luego volvió a su estado anterior. Esto sugiere que los ciberdelincuentes actuaron de forma sigilosa e intentaron cubrir sus huellas.

La vulnerabilidad en reviewdog ocurrió en el mismo período temporal que la compromisión del token de tj-actions. Los hackers insertaron una carga útil codificada en Base64 en el script install.sh, que permitía extraer datos secretos de los flujos de trabajo CI. Hasta el momento no se han registrado casos de transmisión de datos a servidores externos de los atacantes. Sin embargo, las filtraciones pudieron haberse detectado dentro de los propios repositorios.

Además de la confirmada intrusión en la etiqueta reviewdog/action-setup@v1, otras acciones podrían haber estado en riesgo:

• reviewdog/action-shellcheck
• reviewdog/action-composite-template
• reviewdog/action-staticcheck
• reviewdog/action-ast-grep
• reviewdog/action-typos

Aunque el equipo de Reviewdog corrigió el error, los especialistas de Wiz notificaron a ellos y a GitHub sobre la posible repetición del ataque. La compañía destacó que el problema podría haber surgido debido al gran número de participantes en el proyecto Reviewdog y al proceso automatizado de incorporación de nuevos miembros, lo que aumenta los riesgos. Si la acción comprometida hubiera permanecido activa, los atacantes podrían haber vuelto a atacar tj-actions/changed-files y acceder a los datos secretos de CI/CD reemplazados recientemente.

Wiz recomienda a los desarrolladores que revisen sus repositorios en busca de enlaces a reviewdog/action-setup@v1 mediante una consulta en GitHub. Si se encuentran cadenas codificadas en Base64 en los registros de los flujos de trabajo, podría ser indicativo de una filtración de secretos.

Para mitigar los efectos del ataque, se deben realizar las siguientes acciones:

• Eliminar inmediatamente todos los enlaces a acciones comprometidas;
• Eliminar los registros de los flujos de trabajo donde podrían haberse filtrado datos secretos;
• Regenerar todas las claves secretas potencialmente comprometidas.

Para prevenir ataques similares en el futuro, se recomienda fijar versiones de GitHub Actions a commits específicos en lugar de utilizar etiquetas, así como usar la función allow-listing de GitHub para restringir el uso de acciones no autorizadas.