Ssylka

Как компрометация GitHub Action угрожает 23 000 репозиториям?

GitHub Action tj-actions/changed-files, используемый для отслеживания изменений файлов и директорий, был скомпрометирован, что затронуло работу более 23 000 репозиториев. В результате сбора в журналах сборки CI/CD секретов оказались под угрозой утечки таких данных, как ключи доступа AWS, GitHub Personal Access Tokens (PAT), npm токены, приватные RSA ключи и иные чувствительные сведения.
Как компрометация GitHub Action угрожает 23 000 репозиториям?
Изображение носит иллюстративный характер

Атака произошла до 14 марта 2025 года и получила идентификатор CVE-2025-30066 с оценкой CVSS 8.6. В случае публикации журналов сборки могут оказаться раскрыты подробности о конфиденциальных данных, что увеличивает риск их несанкционированного использования.

Злоумышленники модифицировали исходный код действия, изменив несколько существующих тегов версии так, чтобы они ссылались на вредоносный коммит. Внесённые изменения позволили запустить Python-скрипт, опубликованный на GitHub gist, призванный извлечь секреты из процесса Runner Worker. Указанный gist впоследствии был удалён.

Секреты оказались под угрозой из-за скомпрометированного GitHub personal access token, использовавшегося ботом @tj-actions-bot с повышенными привилегиями. Токен, хранящийся как секрет действия, был отозван GitHub, а разработчики подтвердили, что впредь PAT не будет применяться в проектах организации tj-actions.

StepSecurity зафиксировал, что злоумышленники изменили код действия и ретроактивно обновили теги версии, что привело к утечке CI/CD секретов в журналах сборки. Димитрий Стиляди, CTO и соучредитель Endor Labs, пояснил, что tj-actions/changed-files используется для выявления изменений между коммитами, ветками или pull requests. По состоянию на 15 марта 2025 года фирма Cloud Security Wiz отметила, что все версии действия затронуты, за исключением случаев, когда используется hash-пиннинг.

Пользователям настоятельно рекомендуется обновиться до версии 46.0.1 и провести анализ рабочих процессов, выполненных с 14 по 15 марта 2025 года, на предмет появления неожиданных записей в разделе changed-files. Приняты меры по усилению безопасности CI/CD процессов для предотвращения подобных инцидентов в будущем.

Инцидент рассматривается в контексте предыдущей уязвимости, выявленной в январе 2024 года исследователем безопасности Аднаном Ханом (CVE-2023-49291, CVSS 9.8), затронувшей tj-actions/changed-files и tj-actions/branch-names. Случай подчёркивает растущую опасность компрометаций в цепочке поставок открытого программного обеспечения, способных одновременно затронуть значительное число клиентов.


Новое на сайте