在GitHub Actions持續集成和持續交付/部署(CI/CD)平臺中使用一個流行工具的應用程序開發團隊需要清理他們的代碼，因為該工具上周遭入侵，導致憑證被盜。

這一警告是在StepSecurity的研究人員發現tj-actions/changed-files工具的所有版本(直至45.0.7版本)在3月14日均被威脅行為者篡改后發出的。通常，該工具可幫助開發人員檢測存儲庫中的文件更改，但GitHub的一份咨詢報告稱，此次更改執行了一個惡意Python腳本，使得遠程攻擊者能夠通過讀取操作日志來發現諸如API密鑰、訪問令牌和密碼等秘密信息。

此次入侵事件已被指定為CVE-2025-30066。

據Endor Labs的一份報告顯示，該工具在23000多個GitHub存儲庫中使用。報告稱，該遭篡改的工具可能會影響數千條CI管道。

GitHub在3月16日停止了對該工具的訪問，并用一個修補過的版本進行了替換。

CI/CD管道中的秘密信息可能已泄露

Endor Labs警告稱：“任何在CI管道中創建軟件包或容器的公共存儲庫都可能已受到影響，這意味著數千個開源軟件包有可能已被篡改。”

Endor表示，攻擊者可能不是在尋找公共存儲庫中的秘密信息，因為它們是公開的。“他們可能試圖破壞用此工具創建的其他開源庫、二進制文件和工件的軟件供應鏈。”

Endor補充說，該警告適用于擁有私有存儲庫和公共存儲庫的開發團隊。“如果這些存儲庫共享用于工件或容器注冊表的CI/CD管道秘密，則這些注冊表可能已被破壞。

“我們目前沒有證據表明任何下游開源庫或容器已受到影響。但我們敦促開源維護者和安全社區與我們一道密切關注可能出現的二次泄露事件。”

在周一的一次采訪中，Endor Labs的CTO Dimitri Stiliadis表示，使用該tj-actions工具的應用程序存在受損風險。但他補充道，黑客可能會利用從Docker Hub或其他開源存儲庫中竊取的憑證來訪問其他軟件包并插入惡意軟件。“我們可能會有被惡意軟件感染的軟件包，但無人知曉。”“數量可能成千上萬，甚至數百萬……我們目前不知道實際損害程度。我們將在未來幾天內有所了解。”

Wiz Threat Research的研究人員在一篇博客文章中表示，他們已確定“數十個”受影響且暴露敏感信息的公共存儲庫，并正在聯系受影響的各方。

GitHub的建議

為了確定其存儲庫是否受到影響，信息安全負責人應審核GitHub日志以查找可疑IP地址。如果發現可疑IP地址，則需要輪換存儲庫中的活動秘密。

Wiz Threat Research的研究人員也表示，按照GitHub的建議，開發人員應將所有GitHub Actions固定到特定的提交哈希值，而不是版本標簽，以減輕未來供應鏈攻擊的風險。他們還應使用GitHub的允許列表功能來阻止未經授權的GitHub Actions運行，并配置GitHub以僅允許受信任的操作。

“一起非常嚴重的事件”

在周一上午的一次采訪中，StepSecurity的CEO Varun Sharma稱其為“一起非常嚴重的事件”。StepSecurity是一家為CI/CD環境提供端點檢測和響應工具的公司，該公司發現使用tj-actions/changed-files的工作流存在異常出站網絡連接，并警告GitHub稱，已插入該工具的惡意版本以在構建日志中暴露CI/CD憑證。

“雖然原始版本已恢復，”他補充道，“但目前尚不清楚其被篡改的原因。”

他表示，信息安全或開發負責人應：

? 審查tj-actions/changed-files在工作流中的使用情況;

? 確定受篡改版本是否在CI/CD管道中使用;

? 如果受影響，請立即輪換暴露的憑證，包括API密鑰、訪問令牌和密碼;

? 切換到該工具的安全替代版本或升級到修補過的版本。

一種高效的入侵手段

威脅行為者已經發現，在軟件開發過程中進行破壞是一種高效手段，可讓他們滲透到各種IT環境中，而無需一次又一次地攻擊單個應用程序。GitHub和其他開源代碼存儲庫(如NPM、GitLab、Ruby on Rails和PyPI)越來越受到黑客的濫用。

就在一年多前，我們報道了安全研究人員如何證明GitHub Action中的Bazel可能被植入后門。在2012年，我們報道了一個Rails漏洞，該漏洞可能被利用以通過Web表單將未經授權的數據插入到Rails應用程序數據庫中。

因此，CISO必須確保其應用程序開發人員在使用開源平臺磨練代碼時遵循安全最佳實踐。