Para peneliti keamanan siber meminta perhatian pada insiden di mana aksi gitub populer TJ-aksi/perubahan file dikompromikan untuk membocorkan rahasia dari repositori menggunakan alur kerja integrasi kontinu dan pengiriman kontinu (CI/CD).
Insiden itu melibatkan aksi GitHub TJ-aksi/perubahan-file, yang digunakan pada lebih dari 23.000 repositori. Ini digunakan untuk melacak dan mengambil semua file dan direktori yang diubah.
Kompromi rantai pasokan telah diberikan pengidentifikasi CVE CVE-2025-30066 (skor CVSS: 8.6). Insiden itu dikatakan telah terjadi beberapa saat sebelum 14 Maret 2025.
“Dalam serangan ini, para penyerang memodifikasi kode aksi dan secara retroaktif memperbarui beberapa tag versi untuk merujuk komit jahat,” kata Stepsecurity. “Tindakan yang dikompromikan mencetak rahasia CI/CD dalam tindakan GitHub membangun log.”
Hasil bersih dari perilaku ini adalah jika log alur kerja dapat diakses secara publik, mereka dapat menyebabkan paparan rahasia sensitif yang tidak sah ketika tindakan dijalankan pada repositori.
Ini termasuk kunci akses AWS, Token Akses Pribadi GitHub (Token NPM, dan kunci RSA pribadi, antara lain. Yang mengatakan, tidak ada bukti bahwa rahasia bocor disedot ke infrastruktur yang dikendalikan oleh penyerang.
Secara khusus, kode yang dimasukkan dengan jahat dirancang untuk menjalankan skrip Python yang di -host pada GIST GITHUB yang membuang rahasia CI/CD dari proses pekerja pelari. Dikatakan berasal dari komitmen kode sumber yang tidak diverifikasi. Gist GitHub sejak itu telah diturunkan.
Pemelihara proyek telah menyatakan bahwa aktor ancaman yang tidak diketahui di balik insiden tersebut berhasil mengkompromikan token akses pribadi GitHub (PAT) yang digunakan oleh @TJ-Actions-Bot, bot dengan akses istimewa ke repositori yang dikompromikan.
Mengikuti penemuan, kata sandi akun telah diperbarui, otentikasi telah ditingkatkan untuk menggunakan passkey, dan tingkat izinnya telah diperbarui sedemikian rupa sehingga mengikuti prinsip hak istimewa yang paling sedikit. GitHub juga telah mencabut Pat yang dikompromikan.
“Token akses pribadi yang terkena dampak disimpan sebagai rahasia aksi GitHub yang sejak itu telah dicabut,” tambah para pengelola. “Ke depan tidak ada PAT akan digunakan untuk semua proyek di organisasi TJ-actions untuk mencegah risiko terulang kembali.”
Siapa pun yang menggunakan tindakan GitHub disarankan untuk memperbarui ke versi terbaru (46.0.1) sesegera mungkin. Pengguna juga disarankan untuk meninjau semua alur kerja yang dieksekusi antara 14 Maret dan 15 Maret dan memeriksa “output yang tidak terduga di bawah bagian Change-Files.”
Pengembangan sekali lagi menggarisbawahi bagaimana perangkat lunak sumber terbuka tetap rentan terhadap risiko rantai pasokan, yang kemudian dapat memiliki konsekuensi serius bagi beberapa pelanggan hilir sekaligus.
“Pada 15 Maret 2025, semua versi TJ-actions/Changes-Files ditemukan terpengaruh, karena penyerang berhasil memodifikasi tag versi yang ada untuk membuat mereka semua menunjuk pada kode berbahaya mereka,” kata perusahaan keamanan cloud Wiz.
“Pelanggan yang menggunakan versi TJ-actions/Changes-Files yang dipenuhi hash tidak akan terpengaruh, kecuali mereka telah memperbarui ke hash yang terkena dampak selama jangka waktu eksploitasi.”
