Gli Stati Uniti. Agenzia per la sicurezza informatica e delle infrastrutture (CISA) ha aggiunto una vulnerabilità recentemente scoperta legata alla compromissione della supply chain delle GitHub Actions, tj-azioni/file modificati, alle sue vulnerabilità note sfruttate (KEV) catalogare.
Il difetto, tracciato come CVE-2025-30066, è stato assegnato un punteggio di gravità CVSS di 8.6 a causa del suo potenziale per esecuzione di codice remoto e l'esposizione dei dati.
Un compromesso a cascata sulla catena di fornitura
Questa vulnerabilità deriva da una violazione nelle GitHub Actions, permettendo attaccanti a iniettare codice dannoso e accedere a dati sensibili attraverso i registri delle azioni. GitHub Actions è un CI/CD (Integrazione continua e distribuzione continua) strumento di automazione fornito da GitHub, che consente agli sviluppatori di automatizzare i flussi di lavoro per la creazione, analisi, e distribuendo il loro codice direttamente nei loro repository GitHub.
Il problema è particolarmente preoccupante in quanto consente l'esposizione non autorizzata di credenziali riservate, comprese le chiavi di accesso AWS, Token di accesso personali GitHub (PAT), token npm, e chiavi RSA private.
Azienda di sicurezza cloud Mago ha identificato l'incidente come un attacco a cascata alla supply chain. Inizialmente, gli autori di minacce non identificati hanno compromesso il reviewdog/action-setup@v1 Azioni GitHub, che è stato successivamente sfruttato per infiltrarsi tj-actions/changed-files. Il repository compromesso ha eseguito un'azione che ha utilizzato reviewdog/action-setup@v1, creando un'opportunità per gli aggressori di eseguire il loro payload dannoso.
Secondo il ricercatore Wiz Rami McCarthy, la cronologia dell'attacco suggerisce che il reviewdog L'azione è stata compromessa più o meno nello stesso periodo dell' tj-actions Violazione del PAT. Tuttavia, il metodo esatto del compromesso rimane poco chiaro. Si ritiene che l'attacco sia avvenuto il Marzo 11, 2025, con la violazione di tj-actions/changed-files che si verifica prima Marzo 14.
L'impatto di CVE-2025-30066 sui flussi di lavoro CI/CD di GitHub
Il compromesso reviewdog l'azione ha consentito agli aggressori di iniettare un payload codificato in Base64 nei flussi di lavoro CI/CD. Questo carico utile, incorporato in un file denominato install.sh, è stato progettato per estrarre i segreti dai repository utilizzando i flussi di lavoro interessati. In particolare, solo il v1 etichetta di reviewdog/action-setup è stato colpito.
I manutentori di tj-actions hanno da allora confermato che la violazione è stata causata da un token di accesso personale GitHub compromesso (COLPETTO), che ha consentito modifiche non autorizzate al repository. Gli aggressori sono riusciti ad aggiornare il v1 etichetta, sostituendolo con il loro codice maligno.
Misure di mitigazione e raccomandazioni di sicurezza
In risposta all'incidente, agli utenti interessati e alle agenzie federali è stato consigliato di aggiornare a tj-actions/changed-files versione 46.0.1 prima Aprile 4, 2025. Tuttavia, data la natura del compromesso, il rischio di recidiva resta alto.
Per rafforzare le misure di sicurezza, gli esperti raccomandano le seguenti azioni:
- Sostituisci le azioni GitHub interessate con alternative sicure.
- Verificare i flussi di lavoro passati per eventuali segnali di attività dannose.
- Ruotare tutti i segreti potenzialmente trapelati.
- Aggiungi le azioni GitHub a specifici hash di commit anziché a tag di versione per impedire modifiche non autorizzate.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: