Les utilisateurs de **GitHub Actions** doivent être conscients d'un récent compromis affectant le workflow `actions-cool/issues-helper`. Selon le chercheur de **StepSecurity**, Varun Sharma, "Chaque tag existant dans le dépôt a été déplacé pour pointer vers un commit imposteur qui n'apparaît pas dans l'historique normal des commits de l'action. Ce commit contient du code malveillant qui exfiltre les identifiants des pipelines CI/CD qui exécutent l'action." ### Commits imposteurs : une menace pour la chaîne d'approvisionnement Cette attaque exploite un "commit imposteur", une technique où du code malveillant est injecté en référençant un commit ou un tag qui n'existe que dans une fork contrôlée par un adversaire. Cela permet aux attaquants de contourner les revues de Pull Request (PR) standard et d'obtenir une exécution de code arbitraire. ### Détails techniques de l'attaque Le commit malveillant exécute les actions suivantes au sein d'un runner **GitHub Actions** : * Télécharge le runtime JavaScript **Bun**. * Lit la mémoire du processus Runner.Worker pour extraire les identifiants. * Effectue un appel HTTPS sortant vers un domaine contrôlé par l'attaquant ("t.m-kosche[.]com") pour transmettre les données volées. **StepSecurity** a également signalé que 15 tags associés à l'action **GitHub Action** "actions-cool/maintain-one-comment" ont été compromis avec la même fonctionnalité malveillante. ### Réponse de GitHub et lien potentiel avec d'autres campagnes **GitHub** a depuis désactivé l'accès au dépôt en raison d'une "violation des conditions d'utilisation de **GitHub**". Les raisons de cette décision sont actuellement inconnues. Fait intéressant, le domaine d'exfiltration "t.m-kosche[.]com" a été précédemment observé dans la campagne **Mini Shai-Hulud** ciblant les packages **npm** de l'écosystème @antv, suggérant un lien potentiel entre les deux activités. ### Étapes d'atténuation **StepSecurity** conseille que "Étant donné que chaque tag pointe maintenant vers des commits malveillants, tout workflow qui référence l'action par version télécharge le code malveillant lors de sa prochaine exécution. Seuls les workflows épinglés à un SHA de commit complet connu pour être sûr ne sont pas affectés." Par conséquent, les utilisateurs de ces actions devraient immédiatement : * Épingler leurs workflows à un SHA de commit complet connu pour être sûr au lieu d'utiliser des tags. * Auditer leurs pipelines CI/CD pour toute tentative d'accès non autorisée ou fuite d'identifiants.