Los usuarios de **GitHub Actions** deben estar al tanto de un reciente compromiso que afecta al flujo de trabajo `actions-cool/issues-helper`. Según el investigador de **StepSecurity**, Varun Sharma, "Cada etiqueta existente en el repositorio ha sido movida para apuntar a un commit impostor que no aparece en el historial normal de commits de la acción. Ese commit contiene código malicioso que exfiltra credenciales de las pipelines de CI/CD que ejecutan la acción." ### Commits Impostores: Una Amenaza a la Cadena de Suministro Este ataque aprovecha un "commit impostor", una técnica donde se inyecta código malicioso haciendo referencia a un commit o etiqueta que solo existe en un fork controlado por el adversario. Esto permite a los atacantes eludir las revisiones estándar de Pull Request (PR) y lograr la ejecución arbitraria de código. ### Detalles Técnicos del Ataque El commit malicioso ejecuta las siguientes acciones dentro de un runner de **GitHub Actions**: * Descarga el runtime de JavaScript **Bun**. * Lee la memoria del proceso Runner.Worker para extraer credenciales. * Realiza una llamada HTTPS saliente a un dominio controlado por el atacante ("t.m-kosche[.]com") para transmitir los datos robados. **StepSecurity** también informó que 15 etiquetas asociadas con la **GitHub Action** "actions-cool/maintain-one-comment" han sido comprometidas con la misma funcionalidad maliciosa. ### Respuesta de GitHub y Posible Vínculo con Otras Campañas **GitHub** ha deshabilitado desde entonces el acceso al repositorio debido a una "violación de los términos de servicio de **GitHub**". Las razones de esta decisión son actualmente desconocidas. Curiosamente, el dominio de exfiltración "t.m-kosche[.]com" ha sido observado previamente en la campaña **Mini Shai-Hulud** dirigida a paquetes **npm** del ecosistema @antv, lo que sugiere una conexión potencial entre ambas actividades. ### Pasos de Mitigación **StepSecurity** aconseja que "Dado que cada etiqueta ahora resuelve a commits maliciosos, cualquier flujo de trabajo que haga referencia a la acción por versión extraerá el código malicioso en su próxima ejecución. Solo los flujos de trabajo fijados a un SHA de commit completo conocido y seguro no se ven afectados." Por lo tanto, los usuarios de estas acciones deben inmediatamente: * Fijar sus flujos de trabajo a un SHA de commit completo conocido y seguro en lugar de usar etiquetas. * Auditar sus pipelines de CI/CD para detectar cualquier acceso no autorizado o fuga de credenciales.