Ongeautoriseerde updates in TJ‑Action lekken certificaten

Open-source software gebruikt door meer dan 20,5 bedrijven, sommige van hen in grootschalige initiatieven, werd door indringers in de laatste open-source supply-chain-aanval aangetast. De aanvallers voerden diefstalcode uit nadat ze ongeautoriseerde toegang hadden gekregen tot een onderhoudsaccount, waardoor certificaten en andere gevoelige gegevens konden worden bemachtigd.

Vervuilde pakketten, Tj-action/Changed-Files, en het bijbehorende project TJ-Action vormen een verzameling bestanden die door meer dan 23.000 bedrijven worden gebruikt. TJ-Action is een van de vele GitHub Open-Source componenten die automatisering voor ontwikkelteams bieden. Acties zijn een belangrijke manier om CI/CD (continue integratie en continue implementatie) op te zetten, en daarom is misbruik van zulke acties extra schadelijk.

Het servergeheugen op de schaal schrapen

Vrijdag of eerder ontving de broncode van alle versies van TJ-Action/Changed-Files ongeautoriseerde updates die ’tags’ gebruiken — tags geven ontwikkelaars de mogelijkheid specifieke codeversies aan te wijzen. De kwaadaardige wijzigingen instructeerden het script om het servergeheugen te doorzoeken naar certificaten en andere geheimen en deze naar een logbestand te schrijven. Daardoor werden gevoelige referenties zichtbaar in logbestanden die openbaar toegankelijk zijn in veel repositories.

“Het vreselijke deel van de actie is dat ze vaak de broncode kunnen corrigeren die ze gebruiken en toegang krijgen tot geheime variabelen die verband houden met een workflow,” zei HD Moore, oprichter en CEO van Runzaro en een expert in open-sourcebeveiliging, in een interview. “Het meest voor de hand liggende gebruik van de werkwoorden is om alle broncode te controleren, dan de opgegeven commit-hash te controleren in plaats van de tag … vastgezet in de workflow, maar dit is een gedoe.”

Bronlink: Ars Technica — Supply-chain attack exposing credentials affects 23k users of TJ Actions