Vamos analisar o ataque à cadeia de suprimentos tj-actions/changed-files. Continue lendo para um TL;DR, o que você deve fazer, o que aconteceu e informações adicionais.
TL;DR
- O tj-actions/changed-files O GitHub Action, que é atualmente usado em mais de 23.000 repositórios, foi comprometido, vazando Secrets através de logs de workflow e impactando milhares de pipelines de CI.
- Todas as versões marcadas foram modificadas, tornando o pinning baseado em tags inseguro. Repositórios públicos correm o maior risco, mas repositórios privados também devem verificar sua exposição.
- As etapas imediatas incluem identificar workflows afetados, remover todas as referências à ação comprometida, rotacionar Secrets e verificar logs em busca de atividade suspeita.
Resposta do Aikido: Lançamos uma nova regra SAST que sinaliza qualquer uso com severidade crítica (Pontuação 100). O Aikido pode fixar automaticamente suas ações do Github para prevenir esse tipo de exploit no futuro.
Primeiramente, o que você deve fazer?
Verifique se você foi afetado pelo j-actions/changed-files ataque à cadeia de suprimentos:
A) Procure por tj-actions no seu codebase
B) Use esta query do GitHub para encontrar referências à action do GitHub afetada nos repositórios da sua organização (substitua [your-org] pelo nome da sua organização).
Pare de usar tj-actions/changed-files o mais rápido possível e remova todas as referências à action comprometida.
Rotacione os Secrets dos pipelines afetados e verifique os logs dos seus serviços (de terceiros) em busca de uso suspeito dos tokens expostos; foque nos repositórios com logs de CI runner publicamente acessíveis primeiro.
Vamos analisar o ataque: O que aconteceu?
Um incidente de segurança envolvendo a tj-actions/changed-files O GitHub Action foi identificado em meados de março de 2025. Atacantes introduziram código malicioso que expôs Secrets de CI/CD via logs de workflow. Primeiro relatado pela Step Security, o incidente recebeu a atribuição CVE-2025-30066.
Embora ainda haja falta de clareza sobre o que aconteceu e como o código foi enviado, a maioria dos relatórios indica que o invasor comprometeu um Personal Access Token (PAT) do GitHub vinculado à conta tj-actions-bot, o que permitiu ao invasor fazer modificações não autorizadas, injetar código malicioso e manipular tags de versão.
Cronograma dos eventos:
Antes de 14 de março de 2025: O código malicioso começou a impactar repositórios afetados, causando o vazamento de Secrets em logs públicos.
14 de março de 2025: Pesquisadores de segurança identificaram o comprometimento e alertaram sobre o ocorrido.
15 de março de 2025: O script malicioso hospedado no GitHub Gist foi removido. O repositório comprometido foi brevemente retirado do ar para reverter as alterações maliciosas e posteriormente restaurado sem os commits prejudiciais.
15 de março de 2025: O repositório está de volta online com um comunicado sobre o ataque; o mantenedor também comentou sobre o ataque.
Embora a ameaça imediata tenha sido abordada, versões em cache da action comprometida ainda podem representar um risco. A mitigação proativa é necessária para proteger credenciais sensíveis.
Qual é o impacto do ataque tj-actions/changed-files?
Repositórios usando a popular tj-actions/changed-files, especialmente os públicos, correm o risco de vazar os Secrets usados em seus pipelines. Esses Secrets foram expostos em logs de workflow pelo código malicioso do ator da ameaça. Embora nenhuma exfiltração de dados externa confirmada tenha ocorrido, logs de repositórios públicos poderiam ser acessados por atores maliciosos. Repositórios privados são menos afetados, mas ainda devem avaliar sua exposição e rotacionar Secrets se afetados.
Repositórios Públicos: Alto risco devido à exposição pública de logs de workflow contendo Secrets.
Repositórios Privados: Menor risco, mas ter Secrets ativos expostos em seus logs de workflow ainda é um risco significativo.
Usuários de Actions em Cache: Workflows que armazenaram em cache a action comprometida podem continuar em risco até que os caches sejam limpos.
Como o Aikido pode ajudar?
Lançamos uma nova regra SAST que sinaliza qualquer tj-actions/changed-files uso com severidade crítica (Pontuação 100). Se você já usa o Aikido, você está coberto. Se você não tem uma conta Aikido, pode conectar e escanear sua configuração em poucos segundos.
Além deste ataque, o Aikido também fixa automaticamente suas ações do Github para prevenir esse tipo de exploit no futuro.
E nosso feed de ameaças de malware proprietário - Aikido Intel - detecta malware em até 3 minutos após o lançamento no npm, pypi, e em breve será estendido para Github actions.
Nós facilitamos a segurança da sua cadeia de suprimentos de software e fornecemos o aviso mais precoce para novos riscos e ataques.
Saiba mais sobre o ataque:
- Uma análise detalhada sobre “Compreendendo e Recriando o Ataque à Cadeia de Suprimentos tj-actions/changed-files” pelo Analista da Latio, James Berthoty. James também mostra como recriar o ataque em seu próprio ambiente para testar seu sensor (com cuidado).
- A Step Security, que primeiro relatou o ataque, publicou uma análise de investigação, “Detecção Harden-Runner: a ação tj-actions/changed-files está comprometida”
- Ver CVE-2023-51664
Proteja seu software agora
.jpg)
.avif)
