Los Estados Unidos. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido Una vulnerabilidad recién descubierta vinculada al compromiso de la cadena de suministro de GitHub Actions, tj-actions/archivos modificados, a sus vulnerabilidades explotadas conocidas (KEV) catalogar.
La falla, rastreado como CVE-2025-30066, Se le ha asignado una puntuación de gravedad CVSS de 8.6 Por su potencial para ejecución remota de código y exposición de datos.
Un compromiso en cascada en la cadena de suministro
Esta vulnerabilidad se debe a una brecha en las Acciones de GitHub, permitiendo a los atacantes inyectar código malicioso y acceder a datos confidenciales a través de registros de acciones. GitHub Actions es una CI/CD (Integración continua y despliegue continuo) herramienta de automatización proporcionada por GitHub, que permite a los desarrolladores automatizar los flujos de trabajo para la construcción, pruebas, e implementar su código directamente dentro de sus repositorios de GitHub.
La cuestión es especialmente preocupante porque permite la exposición no autorizada de credenciales confidenciales., incluidas las claves de acceso de AWS, Tokens de acceso personal de GitHub (PAT), tokens npm, y claves RSA privadas.
Empresa de seguridad en la nube Fenómeno Ha identificado el incidente como un ataque en cascada a la cadena de suministro.. Los actores de amenazas no identificados inicialmente comprometieron el reviewdog/action-setup@v1 Acciones de GitHub, que posteriormente se aprovechó para infiltrarse tj-actions/changed-files. El repositorio comprometido ejecutó una acción que utilizó reviewdog/action-setup@v1, creando una oportunidad para que los atacantes ejecuten su carga maliciosa.
Según el investigador de Wiz Rami McCarthy, La cronología del ataque sugiere que el reviewdog La acción se vio comprometida casi al mismo tiempo que la tj-actions Incumplimiento de PAT. Sin embargo, El método exacto del compromiso aún no está claro. Se cree que el ataque tuvo lugar el Marzo 11, 2025, con el incumplimiento de tj-actions/changed-files ocurriendo antes Marzo 14.
El impacto de CVE-2025-30066 en los flujos de trabajo de CI/CD de GitHub
El comprometido reviewdog La acción permitió a los atacantes inyectar una carga útil codificada en Base64 en los flujos de trabajo de CI/CD. Esta carga útil, incrustado dentro de un archivo llamado install.sh, Fue diseñado para extraer secretos de los repositorios utilizando los flujos de trabajo afectados.. Notablemente, Sólo el v1 etiqueta de reviewdog/action-setup fue impactado.
Los mantenedores de tj-actions Desde entonces han confirmado que la violación se debió a un token de acceso personal de GitHub comprometido. (PALMADITA), que permitía modificaciones no autorizadas al repositorio. Los atacantes pudieron actualizar el v1 etiqueta, reemplazándolo con su código malicioso.
Medidas de mitigación y recomendaciones de seguridad
En respuesta al incidente, Se ha recomendado a los usuarios afectados y a las agencias federales que actualicen a tj-actions/changed-files versión 46.0.1 antes de Abril 4, 2025. Sin embargo, Dada la naturaleza del compromiso, El riesgo de recurrencia sigue siendo alto.
Para reforzar las medidas de seguridad, Los expertos recomiendan las siguientes acciones:
- Reemplace las acciones de GitHub afectadas con alternativas seguras.
- Auditar flujos de trabajo anteriores para detectar cualquier signo de actividad maliciosa.
- Rotar cualquier secreto potencialmente filtrado.
- Fije las acciones de GitHub a hashes de confirmación específicos en lugar de etiquetas de versión para evitar modificaciones no autorizadas.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: