Usuários do **GitHub Actions** devem estar cientes de um comprometimento recente afetando o fluxo `actions-cool/issues-helper`. De acordo com o pesquisador da **StepSecurity**, Varun Sharma, "Cada tag existente no repositório foi movida para apontar para um commit impostor que não aparece no histórico normal de commits da ação. Esse commit contém código malicioso que exfiltra credenciais de pipelines de CI/CD que executam a ação." ### Commits Impostores: Uma Ameaça à Cadeia de Suprimentos Este ataque utiliza um "commit impostor", uma técnica onde código malicioso é injetado referenciando um commit ou tag que existe apenas em um fork controlado por um adversário. Isso permite que atacantes contornem revisões padrão de Pull Request (PR) e alcancem a execução arbitrária de código. ### Detalhes Técnicos do Ataque O commit malicioso executa as seguintes ações dentro de um runner do **GitHub Actions**: * Baixa o runtime JavaScript **Bun**. * Lê a memória do processo Runner.Worker para extrair credenciais. * Faz uma chamada HTTPS de saída para um domínio controlado pelo atacante ("t.m-kosche[.]com") para transmitir os dados roubados. A **StepSecurity** também relatou que 15 tags associadas à **GitHub Action** "actions-cool/maintain-one-comment" foram comprometidas com a mesma funcionalidade maliciosa. ### Resposta do GitHub e Possível Ligação com Outras Campanhas O **GitHub** desde então desabilitou o acesso ao repositório devido a uma "violação dos termos de serviço do **GitHub**". As razões para esta decisão são atualmente desconhecidas. Interessantemente, o domínio de exfiltração "t.m-kosche[.]com" foi previamente observado na campanha **Mini Shai-Hulud** visando pacotes **npm** do ecossistema @antv, sugerindo uma conexão potencial entre as duas atividades. ### Passos de Mitigação A **StepSecurity** aconselha que "Como cada tag agora resolve para commits maliciosos, qualquer fluxo que referencie a ação por versão puxa o código malicioso em sua próxima execução. Apenas fluxos fixados a um SHA de commit completo conhecido e bom permanecem inalterados." Portanto, usuários destas ações devem imediatamente: * Fixar seus fluxos a um SHA de commit completo conhecido e bom em vez de usar tags. * Auditar seus pipelines de CI/CD em busca de qualquer acesso não autorizado ou vazamento de credenciais.