Un attacco alla supply chain di GitHub, che ha inizialmente preso di mira Coinbase, è stato ricondotto al furto di un token di accesso personale (PAT) collegato a SpotBugs. Questo attacco evidenzia come una vulnerabilità nel flusso di lavoro di GitHub Actions di SpotBugs, uno strumento open-source per l'analisi statica dei bug nel codice, sia stata sfruttata dagli attaccanti per muoversi lateralmente tra i repository di SpotBugs fino ad ottenere accesso a reviewdog.

L'attività malevola sembra essere iniziata già a novembre 2024, anche se l'attacco a Coinbase è avvenuto a marzo 2025. L'indagine ha rivelato che il GitHub Action di reviewdog è stato compromesso a causa di un PAT trapelato, consentendo agli attaccanti di inserire una versione malevola di "reviewdog/action-setup". Questo è stato poi incorporato da "tj-actions/changed-files", in quanto elencato come dipendenza tramite l'azione "tj-actions/eslint-changed-files".

È stato scoperto che il manutentore di SpotBugs era coinvolto anche in questo progetto open-source. Gli attaccanti hanno caricato un file di flusso di lavoro malevolo nel repository "spotbugs/spotbugs" con il nome utente "jurkaofavak", provocando la fuga del PAT del manutentore quando il flusso di lavoro è stato eseguito. Il PAT trapelato ha permesso l'accesso a "spotbugs/spotbugs" e "reviewdog/action-setup", consentendo di compromettere ulteriormente quest'ultimo.

Si è scoperto che il nome utente "jurkaofavak" è stato invitato come membro del repository da uno dei manutentori del progetto l'11 marzo 2025. Gli attaccanti hanno utilizzato il PAT per invitare questo utente, creando un fork del repository "spotbugs/sonar-findbugs" e inviando una richiesta di pull con il nome utente "randolzfow".

Il 28 novembre 2024, il manutentore di SpotBugs ha modificato uno dei flussi di lavoro di GitHub Actions per utilizzare il proprio PAT a causa di difficoltà tecniche nel loro processo CI/CD. Il 6 dicembre 2024, un attaccante ha inviato una richiesta di pull malevola a "spotbugs/sonar-findbugs", sfruttando un trigger "pull_request_target". Questo trigger consente ai flussi di lavoro eseguiti dai fork di accedere ai segreti, in questo caso il PAT, portando a un attacco di esecuzione della pipeline avvelenata (PPE).

Il manutentore di SpotBugs ha confermato che il PAT usato nel flusso di lavoro era lo stesso utilizzato per invitare "jurkaofavak" al repository. Ha successivamente ruotato tutti i suoi token e PAT per revocare e prevenire ulteriori accessi da parte degli attaccanti. Rimane un mistero il perché gli attaccanti abbiano atteso tre mesi per sfruttare il PAT rubato e perché abbiano reso manifesto il loro attacco stampando i segreti nei log.