USA. Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet en nyligt opdaget sårbarhed forbundet med forsyningskædens kompromis i GitHub Actions, tj-actions/changed-filer, til dets kendte udnyttede sårbarheder (KEV) katalog.
fejlen, spores som CVE-2025-30066, er blevet tildelt en CVSS-sværhedsscore på 8.6 på grund af dets potentiale for fjernkørsel af programkode og dataeksponering.
Et Cascading Supply Chain-kompromis
Denne sårbarhed stammer fra et brud i GitHub-handlingerne, tillader angribere til injicere ondsindet kode og få adgang til følsomme data gennem handlingslogs. GitHub Actions er en CI/CD (Kontinuerlig integration og kontinuerlig implementering) automatiseringsværktøj leveret af GitHub, som giver udviklere mulighed for at automatisere arbejdsgange til bygning, test, og implementere deres kode direkte i deres GitHub-depoter.
Problemet er særligt bekymrende, da det muliggør uautoriseret afsløring af fortrolige legitimationsoplysninger, inklusive AWS-adgangsnøgler, GitHub personlige adgangstokens (PAT'er), npm tokens, og private RSA-nøgler.
Cloud sikkerhedsfirma Wiz har identificeret hændelsen som et kaskadende forsyningskædeangreb. Uidentificerede trusselsaktører kompromitterede oprindeligt reviewdog/action-setup@v1 GitHub-handlinger, som efterfølgende blev udnyttet til at infiltrere tj-actions/changed-files. Det kompromitterede lager kørte en handling, der brugte reviewdog/action-setup@v1, skabe en mulighed for angribere til at udføre deres ondsindede nyttelast.
Ifølge Wiz-forsker Rami McCarthy, angrebets tidslinje antyder, at reviewdog Handlingen blev kompromitteret omkring samme tid som tj-actions PAT brud. Men, den nøjagtige metode til kompromis er stadig uklar. Angrebet menes at have fundet sted den Marts 11, 2025, med brud på tj-actions/changed-files forekommer før Marts 14.
Indvirkningen af CVE-2025-30066 på GitHub CI/CD-arbejdsgange
De kompromitterede reviewdog handling tillod angribere at injicere en Base64-kodet nyttelast i CI/CD-arbejdsgange. Denne nyttelast, indlejret i en fil med navn install.sh, blev designet til at udtrække hemmeligheder fra depoter ved hjælp af de berørte arbejdsgange. Især, kun den v1 tag af reviewdog/action-setup blev påvirket.
Vedligeholderne af tj-actions har siden bekræftet, at bruddet skyldtes et kompromitteret GitHub Personal Access Token (KLAPPE), som tillod uautoriserede ændringer af depotet. Angriberne var i stand til at opdatere v1 tag, erstatte det med deres ondsindede kode.
Afbødende foranstaltninger og sikkerhedsanbefalinger
Som reaktion på hændelsen, berørte brugere og føderale agenturer er blevet rådet til at opdatere til tj-actions/changed-files udgave 46.0.1 Før April 4, 2025. Men, i betragtning af kompromisets karakter, risikoen for gentagelse er fortsat høj.
For at styrke sikkerhedsforanstaltningerne, eksperter anbefaler følgende handlinger:
- Erstat berørte GitHub-handlinger med sikre alternativer.
- Revider tidligere arbejdsgange for tegn på ondsindet aktivitet.
- Roter eventuelle potentielt lækkede hemmeligheder.
- Fastgør GitHub-handlinger til specifikke commit-hash i stedet for versionstags for at forhindre uautoriserede ændringer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: