【安全资讯】GitHub供应链攻击追踪至泄露的SpotBugs令牌

概要：

近期，一起针对GitHub的供应链攻击引起了广泛关注，该事件影响了多个项目，尤其是加密货币交易所Coinbase。攻击源头追溯至2024年11月泄露的SpotBugs工作流令牌，揭示了开源软件供应链的脆弱性及其潜在风险。

主要内容：

此次供应链攻击始于2024年11月，当时SpotBugs的一名维护者在CI工作流中添加了个人访问令牌（PAT）。2024年12月6日，攻击者利用一个脆弱的'pull_request_target'工作流，通过恶意的拉取请求窃取了该维护者的PAT。2025年3月11日，攻击者使用被盗的PAT邀请另一个虚假用户进入SpotBugs，并推送了一个恶意的GitHub Actions工作流，进一步窃取了Reviewdog维护者的PAT。

攻击者通过覆盖'reviewdog/action-setup'的v1标签，注入了恶意提交，导致使用该操作的23,000个仓库面临风险。尽管最终只有218个仓库的秘密被曝光，但攻击者的目标显然是Coinbase的基础设施。3月14日，Coinbase的CI执行了被污染的版本，但未暴露任何机密。

此次事件突显了开源代码库之间信任链的根本问题，以及GitHub Actions生态系统中标签可变性和审计日志不足等问题。为防止类似攻击，建议立即更换所有秘密，并在依赖项中使用提交哈希而非标签。