Un ataque de la cadena de suministro contra la acción de GitHub de acciones de TJ ampliamente utilizadas / cambiantes, utilizadas por 23,000 puntos de referencia, potencialmente permitió a los actores de amenaza robar los secretos de CI / CD de las acciones de GitHub están construyendo periódicos.
GitHub Action es una herramienta de automatización muy popular diseñada para flujos de trabajo de GitHub Actions. Permite a los desarrolladores identificar archivos modificados en una solicitud de tracción o validación y tomar medidas de acuerdo con estas modificaciones, generalmente utilizadas en las pruebas, el desencadenante del flujo de trabajo y la mentira y la validación del código automatizado.
Como Reportado por primera vez a pasoLos atacantes agregaron un compromiso malicioso con la herramienta el 14 de marzo de 2025 a las 4:00 p.m. Como resultado, si los periódicos de flujo de trabajo fueran accesibles al público, cualquiera podría leer y robar de secretos expuestos.
Los atacantes modificaron el código de acción y actualizaron retroactivamente varias etiquetas de versión para hacer referencia a un malicia maliciosaEntonces, todas las versiones de la herramienta se han visto comprometidas.
Según el Última actualización de desarrolladoresEl delantero comprometió un token de acceso personal GitHub (PAT) utilizado por un bot (@ tj-cactiling-bot), que tenía acceso privilegiado al repositorio de herramientas. Sin embargo, actualmente no sabemos cómo se comprometió el PAT.
El 15 de marzo, las 2:00 p.m., Github eliminó la acción comprometida y a las 10:00 p.m.
Sin embargo, el compromiso tiene repercusiones duraderas para proyectos de software impactados, por lo tanto, una ID CVE (CVE-2025-30066) fue asignado al seguimiento para seguir -Up.
Curiosamente, el código malicioso no exfiltró la excursión de memoria a un servidor remoto, sino que solo lo hizo visible en estándares accesibles para el público.
“La acción comprometida ha inyectado malware en todos los flujos de trabajo que usan, vaciando la memoria del corredor de CI que contiene los secretos del flujo de trabajo”. Explicar wiz En un artículo sobre el incidente.
“En los estándares públicos, los secretos serían visibles para todos como parte de los periódicos de flujo de trabajo, aunque oscurecidos como una carga útil básica64 en doble codificado”.
Fuente: Wiz
El punto de referencia de TJ-Actions restaurado se ha actualizado antes durante el día para Incluir instrucciones En lo que deben hacer los usuarios potencialmente afectados, en particular:
- Pivote todos los secretos utilizados durante el período de ataque (14-15 de marzo)
- Revise los flujos de trabajo a una excursión inesperada en la sección “Cambios-Cuaredes”
- Si sus flujos de trabajo se refieren al compromiso comprometido por SHA, actualice de inmediato.
- Asegúrese de estar usando una versión etiquetada (por ejemplo, V35, V44.5.1)
Para evitar que los secretos estén expuestos a compromisos similares al futuro, es GitHub recomienda Que todas las acciones de GitHub se agrietan en escotillas de validación específicas en lugar de balizas de versión.
Además, GitHub ofrece funcionalidades de la lista de autorización que pueden usarse para bloquear las acciones de GitHub no autorizadas / desconocidas.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.