Ssylka

Атака GitHub Action: цепочка поставок под угрозой

U.S. Cybersecurity and Infrastructure Security Agency (CISA) во вторник выпустила предупреждение об активном использовании уязвимости в цепочке поставок GitHub Action, указывая на риск для безопасности критически важных секретов в репозиториях.
Атака GitHub Action: цепочка поставок под угрозой
Изображение носит иллюстративный характер

Репозиторий tj-actions/changed-files оказался под ударом из-за уязвимости, обозначенной идентификатором CVE-2025-30066 с оценкой 8.6 по шкале CVSS. Вредоносный код, внедрённый в этот GitHub Action, позволяет злоумышленникам извлекать секретную информацию, включая действительные AWS-ключи доступа, персональные токены GitHub (PAT), npm-токены и закрытые RSA-ключи.

Атака носит характер цепочки поставок, при этом злоумышленники использовали также вторично скомпрометированный GitHub Action reviewdog/action-setup@v1, который применяется в наборе tj-actions/eslint-changed-files. Инцидент выявлен исследователем из Wiz, Рами Маккарти, который отметил, что компрометация reviewdog/action-setup@v1 имела место примерно в тот же временной интервал, что и утечка уязвимых PAT в tj-actions/changed-files.

Техническая реализация атаки базируется на вставке Base64-кодированной полезной нагрузки, добавляемой в файл . Эта payload предназначена для вывода секретов из репозиториев через логи workflow, что способствует несанкционированному доступу к конфиденциальной информации в CI/CD процессах.

Компрометация произошла благодаря утечке GitHub Personal Access Token, позволившей злоумышленникам обновить тег v1 в форкнутом репозитории. Автоматизированный процесс добавления участников в организацию reviewdog, где значительное число контрибьюторов, повышает риск появления скомпрометированных или злонамеренных учетных записей.

Атака reviewdog/action-setup@v1 зафиксирована 11 марта 2025 года, а взлом репозитория tj-actions/changed-files имел место до 14 марта 2025 года. Этот сдвиг во времени указывает на потенциальную цепную реакцию в системе поставок, усиливая угрозу для использования GitHub Actions.

В целях минимизации риска пользователям и федеральным агентствам рекомендовано обновить версию tj-actions/changed-files до версии 46.0.1 не позднее 4 апреля 2025 года. Дополнительно необходимо заменить уязвимые actions безопасными альтернативами, провести аудит прошлых workflow на предмет аномалий и немедленно обновить скомпрометированные секреты.

Практические меры по усилению безопасности включают привязку GitHub Actions к конкретным commit hash вместо использования версионных тегов, что позволяет ограничить возможности злоумышленников и снизить риск подобных атак в будущем.


Новое на сайте

15656Сквозь водопад: триумф терпения в фотоконкурсе GDT 2025 15655Майское "цветочное полнолуние": микролуние 2024 года 15654Рождение миров: беспрецедентно четкие снимки формирующихся планет у далеких звезд 15653Загадочные космические вспышки: тайна LFBOT-взрывов во вселенной 15652Что стоит за рекордным снимком JWST с 1678 группами галактик? 15651Как театр в Солихулле вернулся к жизни после опасной бетонной угрозы? 15650Что скрывается за 7-месячной реконструкцией исторического театра за 3,5 миллиона фунтов? 15649Путь в гении: новая выставка о молодом Шекспире открывается в Стратфорде-на-Эйвоне 15648Научный оазис в скалистых горах: как заброшенный шахтёрский городок стал центром мировых... 15647Лоррейн Келли успокаивает поклонников перед хирургической операцией 15646Как вредоносные Go-модули стирают диски Linux-систем через атаки на цепочку поставок? 156459 незаменимых электроинструментов для каждого дома: когда и как их использовать 15644Астроном-любитель из вермонта запечатлел впечатляющие галактики со своей домашней... 15643Как финансовые стимулы в законе об эвтаназии могут повлиять на уязвимые группы населения? 15642Как гусеница-коллекционер костей стала хищником в паутинах Гавайев?