在GitHub Actions持續(xù)集成和持續(xù)交付/部署(CI/CD)平臺中使用一個流行工具的應用程序開發(fā)團隊需要清理他們的代碼，因為該工具上周遭入侵，導致憑證被盜。

這一警告是在StepSecurity的研究人員發(fā)現tj-actions/changed-files工具的所有版本(直至45.0.7版本)在3月14日均被威脅行為者篡改后發(fā)出的。通常，該工具可幫助開發(fā)人員檢測存儲庫中的文件更改，但GitHub的一份咨詢報告稱，此次更改執(zhí)行了一個惡意Python腳本，使得遠程攻擊者能夠通過讀取操作日志來發(fā)現諸如API密鑰、訪問令牌和密碼等秘密信息。

此次入侵事件已被指定為CVE-2025-30066。

據Endor Labs的一份報告顯示，該工具在23000多個GitHub存儲庫中使用。報告稱，該遭篡改的工具可能會影響數千條CI管道。

GitHub在3月16日停止了對該工具的訪問，并用一個修補過的版本進行了替換。

CI/CD管道中的秘密信息可能已泄露

Endor Labs警告稱：“任何在CI管道中創(chuàng)建軟件包或容器的公共存儲庫都可能已受到影響，這意味著數千個開源軟件包有可能已被篡改?！?/p>

Endor表示，攻擊者可能不是在尋找公共存儲庫中的秘密信息，因為它們是公開的。“他們可能試圖破壞用此工具創(chuàng)建的其他開源庫、二進制文件和工件的軟件供應鏈?！?/p>

Endor補充說，該警告適用于擁有私有存儲庫和公共存儲庫的開發(fā)團隊。“如果這些存儲庫共享用于工件或容器注冊表的CI/CD管道秘密，則這些注冊表可能已被破壞。

“我們目前沒有證據表明任何下游開源庫或容器已受到影響。但我們敦促開源維護者和安全社區(qū)與我們一道密切關注可能出現的二次泄露事件?！?/p>

在周一的一次采訪中，Endor Labs的CTO Dimitri Stiliadis表示，使用該tj-actions工具的應用程序存在受損風險。但他補充道，黑客可能會利用從Docker Hub或其他開源存儲庫中竊取的憑證來訪問其他軟件包并插入惡意軟件?！拔覀兛赡軙斜粣阂廛浖腥镜能浖?，但無人知曉?！薄皵盗靠赡艹汕先f，甚至數百萬……我們目前不知道實際損害程度。我們將在未來幾天內有所了解?！?/p>

Wiz Threat Research的研究人員在一篇博客文章中表示，他們已確定“數十個”受影響且暴露敏感信息的公共存儲庫，并正在聯(lián)系受影響的各方。

GitHub的建議

為了確定其存儲庫是否受到影響，信息安全負責人應審核GitHub日志以查找可疑IP地址。如果發(fā)現可疑IP地址，則需要輪換存儲庫中的活動秘密。

Wiz Threat Research的研究人員也表示，按照GitHub的建議，開發(fā)人員應將所有GitHub Actions固定到特定的提交哈希值，而不是版本標簽，以減輕未來供應鏈攻擊的風險。他們還應使用GitHub的允許列表功能來阻止未經授權的GitHub Actions運行，并配置GitHub以僅允許受信任的操作。

“一起非常嚴重的事件”

在周一上午的一次采訪中，StepSecurity的CEO Varun Sharma稱其為“一起非常嚴重的事件”。StepSecurity是一家為CI/CD環(huán)境提供端點檢測和響應工具的公司，該公司發(fā)現使用tj-actions/changed-files的工作流存在異常出站網絡連接，并警告GitHub稱，已插入該工具的惡意版本以在構建日志中暴露CI/CD憑證。

“雖然原始版本已恢復，”他補充道，“但目前尚不清楚其被篡改的原因?！?/p>

他表示，信息安全或開發(fā)負責人應：

? 審查tj-actions/changed-files在工作流中的使用情況;

? 確定受篡改版本是否在CI/CD管道中使用;

? 如果受影響，請立即輪換暴露的憑證，包括API密鑰、訪問令牌和密碼;

? 切換到該工具的安全替代版本或升級到修補過的版本。

一種高效的入侵手段

威脅行為者已經發(fā)現，在軟件開發(fā)過程中進行破壞是一種高效手段，可讓他們滲透到各種IT環(huán)境中，而無需一次又一次地攻擊單個應用程序。GitHub和其他開源代碼存儲庫(如NPM、GitLab、Ruby on Rails和PyPI)越來越受到黑客的濫用。

就在一年多前，我們報道了安全研究人員如何證明GitHub Action中的Bazel可能被植入后門。在2012年，我們報道了一個Rails漏洞，該漏洞可能被利用以通過Web表單將未經授權的數據插入到Rails應用程序數據庫中。

因此，CISO必須確保其應用程序開發(fā)人員在使用開源平臺磨練代碼時遵循安全最佳實踐。