Les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a ajouté une vulnérabilité récemment découverte liée à la compromission de la chaîne d'approvisionnement des actions GitHub, tj-actions/fichiers-modifiés, à ses vulnérabilités connues exploitées (KEV) catalogue.
La faille, suivi comme CVE-2025-30066, s'est vu attribuer un score de gravité CVSS de 8.6 en raison de son potentiel pour exécution de code distant et l'exposition des données.
Un compromis en cascade dans la chaîne d'approvisionnement
Cette vulnérabilité provient d'une faille dans les actions GitHub, permettant à des attaquants injecter du code malveillant et accéder à des données sensibles via les journaux d'actions. GitHub Actions est un CI/CD (Intégration continue et déploiement continu) outil d'automatisation fourni par GitHub, qui permet aux développeurs d'automatiser les flux de travail pour la construction, essai, et déployez leur code directement dans leurs dépôts GitHub.
Le problème est particulièrement préoccupant car il permet l’exposition non autorisée d’informations d’identification confidentielles., y compris les clés d'accès AWS, Jetons d'accès personnels GitHub (PAT), jetons npm, et clés RSA privées.
Entreprise de sécurité cloud As a identifié l'incident comme une attaque en cascade de la chaîne d'approvisionnement. Des acteurs malveillants non identifiés ont initialement compromis le reviewdog/action-setup@v1 Actions GitHub, qui a ensuite été utilisé pour infiltrer tj-actions/changed-files. Le référentiel compromis a exécuté une action qui a utilisé reviewdog/action-setup@v1, créant une opportunité pour les attaquants d'exécuter leur charge utile malveillante.
Selon le chercheur de Wiz Rami McCarthy, la chronologie de l'attaque suggère que le reviewdog L'action a été compromise à peu près au même moment que tj-actions Violation du PAT. Cependant, la méthode exacte de compromis reste floue. L'attaque aurait eu lieu le Mars 11, 2025, avec la violation de tj-actions/changed-files survenant avant Mars 14.
L'impact de la faille CVE-2025-30066 sur les workflows CI/CD de GitHub
Les compromis reviewdog l'action a permis aux attaquants d'injecter une charge utile codée en Base64 dans les flux de travail CI/CD. Cette charge utile, intégré dans un fichier nommé install.sh, a été conçu pour extraire les secrets des référentiels à l'aide des flux de travail concernés. Notamment, seulement le v1 étiquette de reviewdog/action-setup a été impacté.
Les mainteneurs de tj-actions ont depuis confirmé que la violation résultait d'un jeton d'accès personnel GitHub compromis (TAPOTER), qui a permis des modifications non autorisées du référentiel. Les attaquants ont pu mettre à jour le v1 étiqueter, en le remplaçant par leur code malveillant.
Mesures d'atténuation et recommandations de sécurité
En réponse à l'incident, Il a été conseillé aux utilisateurs concernés et aux agences fédérales de mettre à jour tj-actions/changed-files version 46.0.1 avant Avril 4, 2025. Cependant, étant donné la nature du compromis, le risque de récidive reste élevé.
Pour renforcer les mesures de sécurité, les experts recommandent les actions suivantes:
- Remplacez les actions GitHub concernées par des alternatives sécurisées.
- Auditez les flux de travail passés pour détecter tout signe d'activité malveillante.
- Faites tourner tous les secrets potentiellement divulgués.
- Épinglez les actions GitHub sur des hachages de validation spécifiques au lieu de balises de version pour empêcher les modifications non autorisées.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: