Os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou uma vulnerabilidade recentemente descoberta vinculada ao comprometimento da cadeia de suprimentos das Ações do GitHub, tj-ações/arquivos alterados, às suas Vulnerabilidades Exploradas Conhecidas (KEV) Catálogo.
a falha, rastreado como CVE-2025-30066, recebeu uma pontuação de gravidade CVSS de 8.6 devido ao seu potencial para execução remota de código e exposição de dados.
Um compromisso em cascata na cadeia de suprimentos
Esta vulnerabilidade decorre de uma violação nas Ações do GitHub, permitindo que atacantes injetar código malicioso e acessar dados confidenciais através de registros de ação. GitHub Actions é um CI/CD (Integração Contínua e Implantação Contínua) ferramenta de automação fornecida pelo GitHub, que permite aos desenvolvedores automatizar fluxos de trabalho para construção, prova, e implantando seu código diretamente em seus repositórios GitHub.
A questão é particularmente preocupante, pois permite a exposição não autorizada de credenciais confidenciais, incluindo chaves de acesso AWS, Tokens de acesso pessoal do GitHub (PATs), Tokens npm, e chaves RSA privadas.
Empresa de segurança em nuvem Mágico identificou o incidente como um ataque em cascata à cadeia de suprimentos. Atores de ameaças não identificados comprometeram inicialmente o reviewdog/action-setup@v1 Ações do GitHub, que foi posteriormente alavancado para infiltrar tj-actions/changed-files. O repositório comprometido executou uma ação que utilizou reviewdog/action-setup@v1, criando uma oportunidade para os invasores executarem sua carga maliciosa.
Segundo o pesquisador Wiz Rami McCarthy, o cronograma do ataque sugere que o reviewdog A ação foi comprometida quase ao mesmo tempo que a tj-actions Violação do PAT. Contudo, o método exato de compromisso permanece obscuro. Acredita-se que o ataque tenha ocorrido em marcha 11, 2025, com a violação de tj-actions/changed-files ocorrendo antes marcha 14.
O impacto do CVE-2025-30066 nos fluxos de trabalho do GitHub CI/CD
O comprometido reviewdog a ação permitiu que os invasores injetassem uma carga útil codificada em Base64 em fluxos de trabalho de CI/CD. Esta carga útil, incorporado em um arquivo chamado install.sh, foi projetado para extrair segredos de repositórios usando os fluxos de trabalho afetados. Notavelmente, somente o v1 etiqueta de reviewdog/action-setup foi impactado.
Os mantenedores de tj-actions desde então confirmaram que a violação resultou de um token de acesso pessoal do GitHub comprometido (PAT), que permitiu modificações não autorizadas no repositório. Os atacantes conseguiram atualizar o v1 marcação, substituindo-o por seu código malicioso.
Medidas de mitigação e recomendações de segurança
Em resposta ao incidente, usuários afetados e agências federais foram aconselhados a atualizar para tj-actions/changed-files versão 46.0.1 antes abril 4, 2025. Contudo, dada a natureza do compromisso, o risco de recorrência continua alto.
Para reforçar as medidas de segurança, Os especialistas recomendam as seguintes ações:
- Substitua as ações afetadas do GitHub por alternativas seguras.
- Audite fluxos de trabalho anteriores para detectar quaisquer sinais de atividade maliciosa.
- Gire quaisquer segredos potencialmente vazados.
- Fixe ações do GitHub em hashes de confirmação específicos em vez de tags de versão para evitar modificações não autorizadas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: