Billi kkompromettew il-proċess ta' rilaxx tal-GitHub Actions tal-proġett TanStack, l-attakkanti setgħu jippubblikaw 84 verżjoni malizzjuża ta' 42 pakkett NPM mill-munzell TanStack għar-repożitorju NPM. Uħud mill-pakketti kompromessi tniżżlu aktar minn 10 miljun darba fil-ġimgħa.
L-aċċess għall-pubblikazzjoni tar-rilaxx inkiseb minħabba setting mhux korrett ta' pull_request_target "Pwn Request" f'GitHub Actions (l-ispeċifikazzjoni ta' maskra fis-settings wasslet għat-tnedija ta' pull_request_target għal pull requests għal forks ta' partijiet terzi), avvelenament tal-cache ta' GitHub Actions permezz ta' fork, u l-abbiltà li jiġi estratt token OIDC mill-memorja ta' proċess runner li jkun qed jaħdem (Runner.Worker) billi jinqara l-kontenut ta' /proc/ /memorja.
Pakketti NPM b'modifiki malizzjużi ġew ippubblikati fil-11 ta' Mejju bejn l-22:20 PM u l-22:26 PM (MSK), ġew skoperti 20 minuta wara, u mblukkati siegħa u nofs wara. Ġew rilaxxati żewġ verżjonijiet malizzjużi ta' kull pakkett NPM affettwat, kull waħda fiha kodiċi biex tattiva d-dudu mini-shai-hulud, li jfittex tokens u kredenzjali fl-ambjent attwali. Jekk ġie skopert token ta' konnessjoni mad-direttorju NPM, id-dudu awtomatikament ippubblika rilaxxi malizzjużi ġodda għal pakketti li qed jiġu żviluppati fl-ambjent attwali, u dan jaffettwa s-siġra tad-dipendenzi. Aktar minn 400 pakkett NPM li użaw pakketti TanStack bħala dipendenzi ġew affettwati b'dan il-mod.
Id-dudu ġie installat fil-fajl router_init.js u ġie attivat meta l-pakkett affettwat ġie installat manwalment mill-iżviluppatur jew awtomatikament f'ambjent ta' integrazzjoni kontinwa bl-użu tal-kmandi "npm install," "pnpm install," jew "yarn install." Ladarba ġie attivat, id-dudu fittex fis-sistema għal tokens għal NPM (~/.npmrc), AWS, GCP, Azure, HashiCorp, u KubernetesK8s, kif ukoll ċwievet privati SSH. Id-dejta li sab intbagħtet lill-attakkanti permezz tal-messaġġier P2P deċentralizzat getsession.org.
Id-dudu kien iddisinjat biex iwettaq azzjonijiet distruttivi f'każ ta' revoka ta' token NPM interċettat. Is-sistema kienet ikkonfigurata biex tħaddem perjodikament l-iskritt ~/.local/bin/gh-token-monitor.sh, li kien jiċċekkja l-attività tat-token kull 60 sekonda billi jaċċessa api.github.com/user u, f'każ ta' revoka ta' token, jesegwixxi l-kmand "rm -rf ~/".
Sors: opennet.ru
