Uma ação popular do GitHub Actions foi comprometida por um ataque à cadeia de suprimentos que redirecionou tags para commits falsos contendo código malicioso capaz de extrair credenciais de pipelines CI/CD e enviá-las a um servidor controlado pelos atacantes; a técnica afeta qualquer workflow que use a ação por tag, enquanto apenas quem fixa a versão por SHA completo permanece protegido.
A popular ação do GitHub Actions, actions-cool/issues-helper, foi comprometida em mais um ataque na cadeia de suprimentos de software.
Os invasores alteraram todas as tags existentes do repositório para apontar a commits impostores que não aparecem no histórico normal do projeto.
O pesquisador Varun Sharma, da StepSecurity, explicou que todas as tags passaram a referenciar um commit falso e que esse commit introduz código malicioso para roubar credenciais.
Essa técnica chamada de imposter commit envolve referenciar um commit presente apenas em um fork controlado pelos atacantes, o que permite pular revisões de Pull Request e executar código arbitrário.
No caso identificado, o commit malicioso baixa o runtime Bun para o runner.
Em seguida o código lê a memória do processo Runner.Worker para extrair credenciais presentes no ambiente de execução.
Os dados são então enviados por HTTPS para um domínio controlado pelos invasores, listado como “t.m-kosche[.]com”.
A empresa de segurança informou que 15 tags de outra ação, actions-cool/maintain-one-comment, também foram modificadas com o mesmo objetivo.
O GitHub bloqueou o acesso ao repositório citando uma violação dos termos de serviço, embora os motivos específicos não tenham sido detalhados publicamente.
A observação do domínio de exfiltração na mais recente onda da campanha Mini Sha-Hulud contra pacotes npm do ecossistema @antv sugere que as atividades podem estar relacionadas.
Importante: qualquer workflow que referencie uma versão da ação por tag vai puxar o código malicioso na próxima execução.
Somente workflows que estiverem fixos a um SHA completo e conhecido permanecem imunes a essa alteração de tags.
