在GitHub Actions持續(xù)集成和持續(xù)交付/部署(CI/CD)平臺中使用一個流行工具的應(yīng)用程序開發(fā)團(tuán)隊需要清理他們的代碼，因為該工具上周遭入侵，導(dǎo)致憑證被盜。

這一警告是在StepSecurity的研究人員發(fā)現(xiàn)tj-actions/changed-files工具的所有版本(直至45.0.7版本)在3月14日均被威脅行為者篡改后發(fā)出的。通常，該工具可幫助開發(fā)人員檢測存儲庫中的文件更改，但GitHub的一份咨詢報告稱，此次更改執(zhí)行了一個惡意Python腳本，使得遠(yuǎn)程攻擊者能夠通過讀取操作日志來發(fā)現(xiàn)諸如API密鑰、訪問令牌和密碼等秘密信息。

此次入侵事件已被指定為CVE-2025-30066。

據(jù)Endor Labs的一份報告顯示，該工具在23000多個GitHub存儲庫中使用。報告稱，該遭篡改的工具可能會影響數(shù)千條CI管道。

GitHub在3月16日停止了對該工具的訪問，并用一個修補過的版本進(jìn)行了替換。

CI/CD管道中的秘密信息可能已泄露

Endor Labs警告稱：“任何在CI管道中創(chuàng)建軟件包或容器的公共存儲庫都可能已受到影響，這意味著數(shù)千個開源軟件包有可能已被篡改?！?/p>

Endor表示，攻擊者可能不是在尋找公共存儲庫中的秘密信息，因為它們是公開的?！八麄兛赡茉噲D破壞用此工具創(chuàng)建的其他開源庫、二進(jìn)制文件和工件的軟件供應(yīng)鏈?！?/p>

Endor補充說，該警告適用于擁有私有存儲庫和公共存儲庫的開發(fā)團(tuán)隊?！叭绻@些存儲庫共享用于工件或容器注冊表的CI/CD管道秘密，則這些注冊表可能已被破壞。

“我們目前沒有證據(jù)表明任何下游開源庫或容器已受到影響。但我們敦促開源維護(hù)者和安全社區(qū)與我們一道密切關(guān)注可能出現(xiàn)的二次泄露事件?！?/p>

在周一的一次采訪中，Endor Labs的CTO Dimitri Stiliadis表示，使用該tj-actions工具的應(yīng)用程序存在受損風(fēng)險。但他補充道，黑客可能會利用從Docker Hub或其他開源存儲庫中竊取的憑證來訪問其他軟件包并插入惡意軟件。“我們可能會有被惡意軟件感染的軟件包，但無人知曉?！薄皵?shù)量可能成千上萬，甚至數(shù)百萬……我們目前不知道實際損害程度。我們將在未來幾天內(nèi)有所了解?！?/p>

Wiz Threat Research的研究人員在一篇博客文章中表示，他們已確定“數(shù)十個”受影響且暴露敏感信息的公共存儲庫，并正在聯(lián)系受影響的各方。

GitHub的建議

為了確定其存儲庫是否受到影響，信息安全負(fù)責(zé)人應(yīng)審核GitHub日志以查找可疑IP地址。如果發(fā)現(xiàn)可疑IP地址，則需要輪換存儲庫中的活動秘密。

Wiz Threat Research的研究人員也表示，按照GitHub的建議，開發(fā)人員應(yīng)將所有GitHub Actions固定到特定的提交哈希值，而不是版本標(biāo)簽，以減輕未來供應(yīng)鏈攻擊的風(fēng)險。他們還應(yīng)使用GitHub的允許列表功能來阻止未經(jīng)授權(quán)的GitHub Actions運行，并配置GitHub以僅允許受信任的操作。

“一起非常嚴(yán)重的事件”

在周一上午的一次采訪中，StepSecurity的CEO Varun Sharma稱其為“一起非常嚴(yán)重的事件”。StepSecurity是一家為CI/CD環(huán)境提供端點檢測和響應(yīng)工具的公司，該公司發(fā)現(xiàn)使用tj-actions/changed-files的工作流存在異常出站網(wǎng)絡(luò)連接，并警告GitHub稱，已插入該工具的惡意版本以在構(gòu)建日志中暴露CI/CD憑證。

“雖然原始版本已恢復(fù)，”他補充道，“但目前尚不清楚其被篡改的原因?！?/p>

他表示，信息安全或開發(fā)負(fù)責(zé)人應(yīng)：

? 審查tj-actions/changed-files在工作流中的使用情況;

? 確定受篡改版本是否在CI/CD管道中使用;

? 如果受影響，請立即輪換暴露的憑證，包括API密鑰、訪問令牌和密碼;

? 切換到該工具的安全替代版本或升級到修補過的版本。

一種高效的入侵手段

威脅行為者已經(jīng)發(fā)現(xiàn)，在軟件開發(fā)過程中進(jìn)行破壞是一種高效手段，可讓他們滲透到各種IT環(huán)境中，而無需一次又一次地攻擊單個應(yīng)用程序。GitHub和其他開源代碼存儲庫(如NPM、GitLab、Ruby on Rails和PyPI)越來越受到黑客的濫用。

就在一年多前，我們報道了安全研究人員如何證明GitHub Action中的Bazel可能被植入后門。在2012年，我們報道了一個Rails漏洞，該漏洞可能被利用以通過Web表單將未經(jīng)授權(quán)的數(shù)據(jù)插入到Rails應(yīng)用程序數(shù)據(jù)庫中。

因此，CISO必須確保其應(yīng)用程序開發(fā)人員在使用開源平臺磨練代碼時遵循安全最佳實踐。