Sårbarheter

AI-drivet angrepp mot leverantörskedjan komprometterade 500 GitHub-repositories på sex veckor

april 7, 2026 / 5 Lästid

AI-Driven Supply Chain Attack Compromises 500 GitHub Repositories in Six-Week Campaign

Ett sex veckor långt angrepp mot leverantörskedjan på GitHub-lagringsplatser läckte inloggningsuppgifter från hundratals organisationer innan säkerhetsforskare upptäckte det i april 2026. Kampanjen, som Wiz Research döpt till prt-scan, riktade sig mot pull_request_target workflow-triggern och lyckades kompromissa hemligheter från minst 50 repositories, inklusive AWS-nycklar, Cloudflare API-tokens och Netlify-autentiseringsuppgifter.

Enligt Wiz Research började det första angreppet 11 mars 2026, tre veckor innan offentliggörandet. Angriparen växlade mellan sex olika GitHub-konton och öppnade över 500 skadliga pull requests. Angreppet utvecklades från enkla bash-skript till AI-genererade, språkmedvetna payloads som anpassade sig till olika teknikstackar utan mänsklig inblandning.

Detta representerar en betydande förändring i supply chain-angreppsmetodik. Vad som tidigare krävde manuell spaning och anpassad utveckling av payload kan nu utföras i maskinens hastighet mot hundratals mål samtidigt.

10 procents träffsäkerhet ger dussintals kompromisser

Kampanjens tekniska tillvägagångssätt var direkt: angriparen skickade pull requests med titeln ”ci: update build configuration” till repos som använder sårbara GitHub Actions-workflows. Varje skadlig PR innehöll en femparts-payload som extraherade miljövariabler, skannade efter känsliga hemligheter, försökte kringgå säkerhetsetiketter och körde bakgrundsprocesser för att fånga inloggningsuppgifter som injicerades av senare CI-steg.

Angreppet utnyttjade GitHubs pull_request_target-trigger, som kör workflows med bas-repositorys fulla behörigheter snarare än de begränsade behörigheter som vanligtvis tillämpas på forkade PRs. SafeDep-analytiker bekräftade att payloaden fungerade genom att injicera tillfälliga workflows och automatiskt tillämpa etiketter för att kringgå pull_request_target säkerhetsportar.

Även om kampanjens träffsäkerhet på 10 procents kan verka blygsam, noterar Wiz Research att över cirka 500 försök översätts detta till dussintals lyckade kompromisser. Angriparna riktade sig mot allt från enskilda utvecklares hobbyrepositories till stora projekt, inklusive de från SAP och Svelte.

Ingen extern infrastruktur gjorde nätverksdetektering omöjlig

Ett designval gjorde kampanjen särskilt svår att upptäcka, inga angriparkontrollerade servrar kontaktades någonsin. All exfiltrering av inloggningsuppgifter skedde genom GitHubs eget API eller link-local cloud metadata-endpoints. SafeDep bekräftade att stulna data postades som PR-kommentarer via GitHub API, komprimerade och inslagna i ==PRT_DELAYED_START_== markörer.

Detta tillvägagångssätt gör nätverksbaserad detektering värdelös. All trafik flödar till api.github.com, vilket verkar legitimt för övervakningssystem. Angriparnas operativa säkerhet förbättrades över varje våg, och senare faser visade mer sofistikerade tekniker för att undvika upptäckt samt bättre konstruktion av playloads.

AI-drivna kodgranskningsbotar inklusive CodeRabbit, Sourcery och Qodo, fångade de skadliga PRs konsekvent, enligt SafeDeps analys. Traditionella automatiserade granskningssystem inklusive Codacy missade dock angreppen helt, medan vissa granskningsbotar faktiskt gav de skadliga PRs legitimitet genom att tilldela granskare och tillämpa triage-etiketter.

Kampanjen kopplad till bredare 2025 supply chain-angrepp

Prt-scan-angreppet tycks vara kopplat till ett bredare mönster av supply chain-kompromisser med fokus på GitHub under hela 2025. Palo Alto Networks Unit 42 dokumenterade hur tj-actions/changed-files-kompromissen i mars 2025, som påverkade mer än 23 000 repositories, inleddes med ett liknande angrepp på reviewdog/action-setup som spreds sedan genom beroendeförhållanden.

Den incidenten exponerade CI/CD-hemligheter i offentliga byggloggar och bidrog slutligen till ett intrång på Coinbase som påverkade nästan 70 000 kunder, enligt en CISA-rådgivning om CVE-2025-30066. Mönstret tyder på att angripare har identifierat GitHub Actions som ett högt värderat mål för automatiserad skörd av inloggningsuppgifter i stor skala.

Silobreakers 2025 supply chain-analys drog slutsatsen att threat actors under året gick mot ”mycket riktade utvecklarkompromisser, CI/CD-manipulation och social engineering-driven åtkomst”. Prt-scan-kampanjen representerar automatiseringen av tekniker som tidigare var manuella och arbetsintensiva.

Kontrollera kompromissmarkörer före fredag

Organisationer bör omedelbart granska sina GitHub-repositories för grenar som matchar mönstret prt-scan-[12-tecken-hex] och pull requests med titeln ”ci: update build configuration”. SafeDep rekommenderar att kontrollera workflow-körningsloggar för PRT_EXFIL_START eller PRT_RECON_START markörer, vilket indikerar lyckad credential-extrahering.

Om kompromissmarkörer hittas bör alla CI-hemligheter bektraktas som exponerade och roteras omedelbart. Detta inkluderar AWS-åtkomstnycklar, npm-tokens, Docker registry-credentials och alla API-tokens som är tillgängliga för GitHub Actions-workflows. Bakgrundsskanner-komponenten i angreppet riktade sig specifikt mot 22 högt värderade hemliga typer inklusive NETLIFY, STRIPE, OPENAI och ANTHROPIC-tokens.

Den omedelbara tekniska lösningen är att begränsa pull_request_target-workflows till endast godkända bidragsgivare och genomdriva strikta godkännandeportar för förstegångsbidragsgivare. Den bredare lärdomen är dock att AI-assisterad automatisering fundamentalt har sänkt barriären för storskaliga supply chain-angrepp. Manuella granskningsprocesser som fungerade mot enskilda angripare kommer inte att skala mot maskingenererade kampanjer som riktar sig mot hundratals repos samtidigt.