Seis Contas, Um Ator: Por Dentro da Campanha prt-scan na Cadeia de Suprimentos

A Wiz Research identificou uma campanha prt-scan em 11 de março, três semanas antes de sua divulgação. A operação envolveu seis contas GitHub e mais de 500 pull requests (PRs) maliciosas que exploravam o recurso pull_request_target com payloads de IA, visando projetos em Python, Node.js, Rust e Go. Apesar de uma taxa de sucesso inferior a 10%, o payload em cinco fases comprometeu 106 versões em @codfish/eslint-config e @codfish/actions.

A campanha conseguiu roubar credenciais AWS, Cloudflare e Netlify através de um scanner /proc/*/environ que exfiltrava segredos via comentários de PR. Para detecção, procure por branch com o padrão prt-scan-[12-hex], títulos de PR "ci: update build configuration", user agent python-requests/2.32.5 e marcadores de log PRT_EXFIL/RECON/DELAYED. Recomenda-se reforçar a aprovação de contribuidores de primeira viagem e workflows restritos por ator em repositórios que utilizam pull_request_target.