美国网络安全和基础设施安全局(CISA)于本周二将一项与 GitHub Action tj-actions/changed-files 供应链攻击相关的漏洞添加至其已知可利用漏洞(KEV)目录中。
高危漏洞允许攻击者窃取敏感数据
该高危漏洞被标记为 CVE-2025-30066(CVSS 评分:8.6),涉及 GitHub Action 的入侵,攻击者通过注入恶意代码可远程访问敏感数据。CISA在警报中表示:“tj-actions/changed-files GitHub Action 存在嵌入式恶意代码漏洞,允许远程攻击者通过读取操作日志来发现机密信息。这些机密信息可能包括但不限于有效的 AWS 访问密钥、GitHub 个人访问令牌(PAT)、npm 令牌以及私有的 RSA 密钥。”
供应链攻击链的复杂过程
云安全公司 Wiz 随后透露,此次攻击可能是一次连锁供应链攻击的实例,不明身份的威胁行动者首先入侵了 reviewdog/action-setup@v1 GitHub Action,进而渗透到 tj-actions/changed-files。Wiz 研究员 Rami McCarthy 表示:“tj-actions/eslint-changed-files 使用了 reviewdog/action-setup@v1,而 tj-actions/changed-files 仓库使用个人访问令牌运行了该 Action。reviewdog Action 的入侵时间与 tj-actions PAT 被窃的时间大致相同。”
目前尚不清楚该入侵是如何发生的,但据称入侵发生在 2025 年 3 月 11 日,而 tj-actions/changed-files 的泄露则发生在 3 月 14 日之前的某个时间点。这意味着被感染的 reviewdog Action 可能被用于向使用它的任何 CI/CD 工作流中插入恶意代码,例如在名为 install.sh 的文件中追加 Base64 编码的有效负载。
维护者披露攻击细节及应对措施
tj-actions 的维护者披露,此次攻击是由于 GitHub 个人访问令牌(PAT)被窃所致,攻击者利用该令牌在仓库中植入了未授权的代码。McCarthy 补充道:“我们可以确认,攻击者获得了足够的权限,可以将 v1 标签更新为他们在仓库分叉上放置的恶意代码。reviewdog GitHub 组织的贡献者基数相对较大,并且似乎通过自动邀请积极增加贡献者。这在无形中扩大了攻击面,使得攻击者可以窃取贡献者的访问权限,或恶意获得贡献者访问权限。”
建议与后续防范
鉴于此次事件,CISA 建议受影响的用户和联邦机构在 2025 年 4 月 4 日前更新至 tj-actions/changed-files 的最新版本(46.0.1),以防范正在活跃的威胁。但由于根本原因尚未完全解决,未来仍有再次发生类似事件的风险。除了用更安全的替代方案替换受影响的 Action 外,还建议用户审核过去的工作流是否存在可疑活动,轮换所有泄露的机密信息,并将所有 GitHub Actions 固定到特定的提交哈希值,而不是版本标签。
