Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token. Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke.
Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token
Ett omfattende forsyningskjedeangrep på GitHub, som opprinnelig rettet seg mot Coinbase i mars 2025, har blitt sporet tilbake til en stjålet token fra SpotBugs sin arbeidsflyt. Angrepet startet i november 2024 da en vedlikeholder av SpotBugs inkluderte sin personlige tilgangstoken (PAT) i en CI-arbeidsflyt. En angriper utnyttet deretter en sårbar 'pull_request_target' arbeidsflyt for å stjele denne tokenen via en ondsinnet pull request. Den stjålne tokenen ble senere brukt til å kompromittere flere GitHub-prosjekter, inkludert Reviewdog og tj-actions/changed-files, noe som til slutt eksponerte hemmeligheter i 218 repositories.
Utviklere bør unngå å inkludere personlige tilgangstokens direkte i CI-arbeidsflyter. Det anbefales å bruke alternative autentiseringsmetoder som GitHub App-tokens eller OIDC for å minimere risikoen for token-lekkasje. I tillegg bør man være forsiktig med å bruke 'pull_request_target' arbeidsflyter, da disse kan være sårbare for ondsinnede pull requests.
Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke
Google har utgitt en oppdatering for å adressere en sårbarhet i Quick Share for Windows, kjent som CVE-2024-10668 (CVSS-score: 5.9). Denne sårbarheten kunne utnyttes til å utføre denial-of-service (DoS) angrep eller sende vilkårlige filer til en brukers enhet uten deres godkjenning. Problemet oppsto som en omgåelse av tidligere rapporterte svakheter i Quick Share, som tillot angripere å krasje applikasjonen eller overføre filer uten brukerens samtykke. Google har løst dette i Quick Share for Windows versjon 1.0.2002.2.
Brukere av Quick Share for Windows bør umiddelbart oppdatere til versjon 1.0.2002.2 for å beskytte seg mot potensielle utnyttelser av denne sårbarheten.