U.S. Cybersecurity and Infrastructure Security Agency (CISA) во вторник выпустила предупреждение об активном использовании уязвимости в цепочке поставок GitHub Action, указывая на риск для безопасности критически важных секретов в репозиториях.
Репозиторий tj-actions/changed-files оказался под ударом из-за уязвимости, обозначенной идентификатором CVE-2025-30066 с оценкой 8.6 по шкале CVSS. Вредоносный код, внедрённый в этот GitHub Action, позволяет злоумышленникам извлекать секретную информацию, включая действительные AWS-ключи доступа, персональные токены GitHub (PAT), npm-токены и закрытые RSA-ключи.
Атака носит характер цепочки поставок, при этом злоумышленники использовали также вторично скомпрометированный GitHub Action reviewdog/action-setup@v1, который применяется в наборе tj-actions/eslint-changed-files. Инцидент выявлен исследователем из Wiz, Рами Маккарти, который отметил, что компрометация reviewdog/action-setup@v1 имела место примерно в тот же временной интервал, что и утечка уязвимых PAT в tj-actions/changed-files.
Техническая реализация атаки базируется на вставке Base64-кодированной полезной нагрузки, добавляемой в файл . Эта payload предназначена для вывода секретов из репозиториев через логи workflow, что способствует несанкционированному доступу к конфиденциальной информации в CI/CD процессах.
Компрометация произошла благодаря утечке GitHub Personal Access Token, позволившей злоумышленникам обновить тег v1 в форкнутом репозитории. Автоматизированный процесс добавления участников в организацию reviewdog, где значительное число контрибьюторов, повышает риск появления скомпрометированных или злонамеренных учетных записей.
Атака reviewdog/action-setup@v1 зафиксирована 11 марта 2025 года, а взлом репозитория tj-actions/changed-files имел место до 14 марта 2025 года. Этот сдвиг во времени указывает на потенциальную цепную реакцию в системе поставок, усиливая угрозу для использования GitHub Actions.
В целях минимизации риска пользователям и федеральным агентствам рекомендовано обновить версию tj-actions/changed-files до версии 46.0.1 не позднее 4 апреля 2025 года. Дополнительно необходимо заменить уязвимые actions безопасными альтернативами, провести аудит прошлых workflow на предмет аномалий и немедленно обновить скомпрометированные секреты.
Практические меры по усилению безопасности включают привязку GitHub Actions к конкретным commit hash вместо использования версионных тегов, что позволяет ограничить возможности злоумышленников и снизить риск подобных атак в будущем.
Изображение носит иллюстративный характер
Репозиторий tj-actions/changed-files оказался под ударом из-за уязвимости, обозначенной идентификатором CVE-2025-30066 с оценкой 8.6 по шкале CVSS. Вредоносный код, внедрённый в этот GitHub Action, позволяет злоумышленникам извлекать секретную информацию, включая действительные AWS-ключи доступа, персональные токены GitHub (PAT), npm-токены и закрытые RSA-ключи.
Атака носит характер цепочки поставок, при этом злоумышленники использовали также вторично скомпрометированный GitHub Action reviewdog/action-setup@v1, который применяется в наборе tj-actions/eslint-changed-files. Инцидент выявлен исследователем из Wiz, Рами Маккарти, который отметил, что компрометация reviewdog/action-setup@v1 имела место примерно в тот же временной интервал, что и утечка уязвимых PAT в tj-actions/changed-files.
Техническая реализация атаки базируется на вставке Base64-кодированной полезной нагрузки, добавляемой в файл . Эта payload предназначена для вывода секретов из репозиториев через логи workflow, что способствует несанкционированному доступу к конфиденциальной информации в CI/CD процессах.
Компрометация произошла благодаря утечке GitHub Personal Access Token, позволившей злоумышленникам обновить тег v1 в форкнутом репозитории. Автоматизированный процесс добавления участников в организацию reviewdog, где значительное число контрибьюторов, повышает риск появления скомпрометированных или злонамеренных учетных записей.
Атака reviewdog/action-setup@v1 зафиксирована 11 марта 2025 года, а взлом репозитория tj-actions/changed-files имел место до 14 марта 2025 года. Этот сдвиг во времени указывает на потенциальную цепную реакцию в системе поставок, усиливая угрозу для использования GitHub Actions.
В целях минимизации риска пользователям и федеральным агентствам рекомендовано обновить версию tj-actions/changed-files до версии 46.0.1 не позднее 4 апреля 2025 года. Дополнительно необходимо заменить уязвимые actions безопасными альтернативами, провести аудит прошлых workflow на предмет аномалий и немедленно обновить скомпрометированные секреты.
Практические меры по усилению безопасности включают привязку GitHub Actions к конкретным commit hash вместо использования версионных тегов, что позволяет ограничить возможности злоумышленников и снизить риск подобных атак в будущем.
