Compromiterea GitHub Action tj-actions/changed-files a afectat doar un mic procentaj din cele 23.000 de proiecte care o utilizează, estimându-se că doar 218 de repo-uri au expus secretele datorită acestui atac de tip supply chain.
Cu toate că numărul este mic, repercusiunile potențiale în ceea ce privește securitatea sunt semnificative deoarece unele repo-uri sunt foarte populare și ar putea fi folosite în alte atacuri de tip supply chain.
Cu toate acestea, proprietarii repo-urilor expuse trebuie să ia măsuri imediate pentru a-și roti secretele înainte ca atacatorii să aibă ocazia să exploateze scurgerea.
GitHub Action ‘tj-actions/changed-files’ a fost compromis de către atacatori care au adăugat o modificare malitioasă la 14 martie 2025, pentru a extrage secretele CI/CD din procesul Runner Worker către repo.
Dacă jurnalele fluxului de lucru erau setate să fie accesibile public, acele secrete ar putea fi accesate și citite de oricine.
O investigație ulterioară a arătat că atacul a fost probabil posibil printr-un alt atac de tip supply chain care a vizat GitHub Action-ul ‘reviewdog/action-setup@v1’.
Acea breșă ar fi putut compromite un token de acces personal GitHub (PAT) folosit de un bot care avea privilegiul de a face modificări la ‘tj-actions/changed-files’.
Conform datelor partajate de Endor Labs care a monitorizat expunerea secretelor rezultate din acel atac de tip supply chain, impactul incidentului pare să fie limitat dar totuși semnificativ.
În timpul expunerii, între 14 martie, 16:00 UTC și 15 martie, 14:00 UTC, 5.416 repo-uri din 4.072 de organizații distincte referențiau acel GitHub Action vizat.
Endor raportează că unele repo-uri au peste 350.000 de aprecieri și 63.000 de fork-uri, astfel compromiterea lor ar putea afecta mulți utilizatori.
Din cele 5.416 repo-uri care referențiau GitHub Action-ul, 614 au rulat fluxul de lucru respectiv în intervalul de timp dat, multe dintre ele chiar de mai multe ori.
Din acele 614, Endor spune că 218 au afișat efectiv secretele în jurnalul consolei, restul fiind protejate prin urmarea ‘recomandărilor de bună practică’ care au acționat ca o măsură de siguranță pentru a preveni expunerea secretelor.
‘Faptul că acțiunea a fost executată nu înseamnă neapărat că orice date de autentificare au fost afișate în jurnalul consolei,’ explică Endor.
‘Unele repo-uri au urmat recomandările de bună practică și au referențiat SHA-ul commit-ului în loc de un tag mutabil.’
‘Altele au fost rulate înainte ca atacatorul să intervină asupra tuturor tag-urilor de versiune astfel încât acestea să indice către commit-ul malitios.’
În majoritatea cazurilor, secretele expuse erau token-uri de acces pentru instalare GitHub, care conform Endor expiră în 24 de ore, lăsând atacatorii cu o fereastră de exploatare limitată.
În unele cazuri însă, au fost scurse date de autentificare pentru DockerHub, npm și AWS, ceea ce prezintă un risc mai mare din punct de vedere al securității.
Mai sunt întrebări cu privire la faptul dacă breșa inițială a Reviewdog a dus la alte compromiteri dincolo de tj-actions și dacă vreunul dintre cele 218 proiecte expuse de atacul tj-actions a suferit și el o compromitere.
Cei care folosesc GitHub Actions sunt puternic recomandați să revizuiască sfaturile de consolidare a securității oferite de GitHub și să restricționeze accesul la fișiere și foldere care ar putea expune informații sensibile.
Pe baza unei analize a 14M de acțiuni malitioase, descoperiți cele 10 tehnici MITRE ATT&CK din spatele a 93% dintre atacuri și cum să vă apărați împotriva lor.
Probabil că hack-ul GitHub Action a dus la un alt atac de tip supply chain în cascada
Atacul de tip supply chain asupra unui GitHub Action popular expune secrete CI/CD
Dezvoltatorul corupe librăriile NPM ‘colors’ și ‘faker’ distrugând mii de aplicații
Hackerii nord-coreeni din gruparea Lazarus infectează sute de persoane prin pachete npm
Hackerii din gruparea Silk Typhoon vizează acum lanțurile de aprovizionare IT pentru a sparge rețelele
Leave a Reply