Onlangs bleken gebruikers van de GitHub Action tj-actions/changed-files doelwit te zijn van een supplychain-aanval. Daarbij lekte van diverse projecten CI/CD-secrets uit. Wiz Research meldt nu een aanvullende supplychain-aanval op reviewdog/actions-setup@v1, die hieraan mogelijk heeft bijgedragen. Bij de aanval op tj-actions/changed-files wist een aanvaller de code van de GitHub Action aan te passen. De malafide code laadde een Python-script, dat ervoor zorgde dat CI/CD-secrets in build logs van GitHub Actions werden opgenomen. Indien deze logs openbaar toegankelijk waren via bijvoorbeeld openbare repositories waren deze secrets vrij toegankelijk via internet.

Reviewdog/action-setup gecompromitteerd

Wiz Research meldt nu dat de reviewdog/action-setup Github Action is gecompromitteerd in de aanloop de cyberaanval op tj-actions incident. De maintainer van tj-actions meldden eerder al dat een gecompromitteerde GitHub Personal Access Token (PAT) aanvallers in staat stelden de repository aan te passen. Wiz Research vermoedt dat de aanval op reviewdog/action-setup ten grondslag lag aan het compromitteren van de door tj-actions gebruikte PAT.

Ook wijzen de onderzoekers erop dat het cyberincident bij reviewdog/action-setup niet openbaar is gemaakt. Zij vermoeden dat de maintainers van deze GitHub Action het lek bij toeval hebben gedicht. De onderzoekers stellen dan ook dat het risico bestaat dat het lek opnieuw in de GitHub Action ontstaat. Zij hebben daarom aan de bel getrokken bij zowel reviewdog als GitHub.