アメリカ. サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー (CISA) 追加しました GitHub Actionsのサプライチェーン侵害に関連する新たに発見された脆弱性, tj-アクション/変更されたファイル, 既知の脆弱性に対する (KEV) カタログ.
欠陥, として追跡 CVE-2025-30066, CVSSの深刻度スコアが割り当てられました 8.6 その潜在的可能性により リモートコード実行 およびデータの露出.
連鎖的なサプライチェーンの侵害
この脆弱性はGitHub Actionsの侵害から生じたものである。, 攻撃者に 悪意のあるコードを挿入し、機密データにアクセスする アクションログを通じて. GitHub ActionsはCI/CDです (継続的インテグレーションと継続的デプロイメント) GitHubが提供する自動化ツール, これにより、開発者は構築ワークフローを自動化できます。, テスト, GitHubリポジトリ内で直接コードをデプロイする.
この問題は、機密情報の不正な漏洩を可能にするため、特に懸念される。, AWSアクセスキーを含む, GitHub 個人アクセストークン (PAT), npmトークン, および秘密RSA鍵.
クラウドセキュリティ会社 ウィズ この事件は連鎖的なサプライチェーン攻撃であると特定した。. 正体不明の脅威アクターが最初に侵入したのは reviewdog/action-setup@v1 GitHubアクション, その後、侵入に利用された tj-actions/changed-files. 侵害されたリポジトリは、 reviewdog/action-setup@v1, 攻撃者が悪意のあるペイロードを実行する機会を作り出す.
ウィズの研究者によると ラミ・マッカーシー, 攻撃のタイムラインは、 reviewdog アクションは、 tj-actions PAT違反. でも, 妥協の正確な方法は不明である. 攻撃は、 行進 11, 2025, 違反により tj-actions/changed-files 以前に発生した 行進 14.
CVE-2025-30066 が GitHub CI/CD ワークフローに与える影響
妥協した reviewdog このアクションにより、攻撃者はBase64でエンコードされたペイロードをCI/CDワークフローに挿入できるようになりました。. このペイロード, という名前のファイルに埋め込まれている install.sh, 影響を受けるワークフローを使用してリポジトリからシークレットを抽出するように設計されました. 特に, のみ v1 タグの reviewdog/action-setup 影響を受けた.
の保守者 tj-actions その後、この侵害はGitHubの個人アクセストークンの侵害によるものであることが確認された。 (パット), リポジトリへの不正な変更を許可した. 攻撃者は、 v1 鬼ごっこ, 悪意のあるコードに置き換える.
緩和策とセキュリティに関する推奨事項
この事件を受けて, 影響を受けるユーザーと連邦政府機関は、 tj-actions/changed-files バージョン 46.0.1 前 4月 4, 2025. でも, 妥協の性質を考えると, 再発リスクは依然として高い.
セキュリティ対策を強化する, 専門家は以下の行動を推奨している:
- 影響を受けるGitHub Actionsを安全な代替品に置き換える.
- 過去のワークフローを監査して悪意のあるアクティビティの兆候がないか確認する.
- 漏洩の可能性がある秘密をローテーションする.
- 不正な変更を防ぐために、バージョンタグではなく特定のコミットハッシュに GitHub Actions を固定します。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: