Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada hari Selasa menambahkan kerentanan yang terkait dengan kompromi rantai pasokan dari tindakan GitHub, TJ-aksi/Changes-Files, dengan katalog kerentanan yang diketahui dieksploitasi (KEV).
Cacat-cacat tinggi, dilacak sebagai CVE-2025-30066 (skor CVSS: 8.6), melibatkan pelanggaran tindakan GitHub untuk menyuntikkan kode berbahaya yang memungkinkan penyerang jarak jauh untuk mengakses data yang sensitif melalui log tindakan.
“Tindakan GitHub TJ-aksi/perubahan-file berisi kerentanan kode jahat tertanam yang memungkinkan penyerang jarak jauh untuk menemukan rahasia dengan membaca log tindakan,” kata Cisa dalam peringatan.
“Rahasia ini mungkin termasuk, tetapi tidak terbatas pada, kunci akses AWS yang valid, token akses pribadi GitHub (PAT), token NPM, dan kunci RSA pribadi.”
Perusahaan keamanan cloud Wiz telah mengungkapkan bahwa serangan itu mungkin merupakan contoh dari serangan rantai pasokan yang mengalir, dengan aktor ancaman yang tidak dikenal pertama-tama mengkompromikan tindakan ulasan/aksi-setup@V1 GitHub untuk menyusup ke aksi TJ-aksi/yang diubah.
“TJ-aksi/Eslint-changed-Files menggunakan ReviewDog/Action-setup@V1, dan repositori TJ-actions/Changes-Files menjalankan aksi TJ-actions/Eslint-Changed-Files ini dengan token akses pribadi,” kata peneliti WIZ Rami McCarthy. “Tindakan ReviewDog dikompromikan selama jendela waktu yang kira-kira sama dengan kompromi TJ-aksi Pat.”
Saat ini tidak jelas bagaimana ini terjadi. Tetapi kompromi itu dikatakan telah terjadi pada 11 Maret 2025. Pelanggaran tindakan TJ-aksi/yang diubah terjadi pada beberapa titik sebelum 14 Maret.
Ini berarti bahwa tindakan ReviewDog yang terinfeksi dapat digunakan untuk memasukkan kode berbahaya ke dalam alur kerja CI/CD menggunakannya, dalam hal ini payload yang dikodekan base64 yang ditambahkan ke file bernama Install.sh yang digunakan oleh alur kerja.
Seperti dalam kasus aksi TJ, muatan dirancang untuk mengekspos rahasia dari repositori yang menjalankan alur kerja di log. Masalah ini hanya berdampak pada satu tag (V1) dari ReviewDog/Action-Setup.
Pemelihara aksi TJ telah mengungkapkan bahwa serangan itu adalah hasil dari token akses pribadi GitHub (PAT) yang memungkinkan para penyerang untuk memodifikasi repositori dengan kode yang tidak sah.
“Kami dapat mengatakan bahwa penyerang memperoleh akses yang cukup untuk memperbarui tag V1 ke kode berbahaya yang telah mereka tempatkan pada garpu repositori,” kata McCarthy.
“Organisasi ReviewDog GitHub memiliki basis kontributor yang relatif besar dan tampaknya secara aktif menambahkan kontributor melalui undangan otomatis. Ini meningkatkan permukaan serangan untuk akses kontributor untuk dikompromikan atau akses kontributor telah diperoleh dengan jahat.”
Mengingat kompromi, pengguna yang terkena dampak dan lembaga federal disarankan untuk memperbarui ke versi terbaru dari aksi TJ-aksi/diubah (46.0.1) pada 4 April 2025, untuk mengamankan jaringan mereka terhadap ancaman aktif. Tetapi mengingat akar penyebabnya, ada risiko kejadian kembali.
Selain mengganti tindakan yang terkena dampak dengan alternatif yang lebih aman, disarankan untuk mengaudit alur kerja masa lalu untuk aktivitas yang mencurigakan, memutar segala rahasia bocor, dan menjepit semua tindakan github ke hash komit tertentu alih -alih tag versi.
