聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
该 GitHub Action 名为“tj-actions/changed-files”。Tj-actions 提供用于拉通CI/CD流程的 GitHub Action。Changed-files 用于超过2.3万个仓库,旨在追踪文件和目录变更。
专注于 GitHub Actions 研究工作的安全公司 StepSecurity 表示,该供应链攻击发生在3月14日,涉及威胁行动者修改 Changed-files 代码,执行旨在转储 CI/CD 机密以构建日志的恶意 Python 脚本。该公司提到,“如果该工作流日志是公开可访问的(如在公开仓库中),则任何人均可读取这些日志并获得被暴露的机密。”
虽然StepSecurity 公司已经发现多个公开仓库在人人可访问的构建日志中泄露机密,但表示未有证据表明这些遭暴露的机密被提取。大多现有的 Changed-files 版本标签已更新以引用该恶意提交。这起事件获得漏洞编号CVE-2025-30066。Endor Labs 也在追踪该事件并表示未发现下游开源库或容器遭影响的证据。
Endor Labs 表示,“攻击者可能并非查找公开仓库中的机密,这些信息本本来已经是公开状态。他们可能是为了攻陷由此创建的其它开源库、二进制和工件的软件供应链”。任何为CI管道创建程序包或容器的公开仓库可能已经受影响,也就是说可能数千个开源包可能已遭攻陷。该公司还提到,“这种情况也适用于同时拥有非公开和公开仓库的企业组织机构。如果这些仓库共享工件货容器注册表的CI/CD管道机密,则这些注册表可能也被攻陷。”
3月15日,GitHub 删除了该 tj-actions/changed-files 操作并将其在恶意提交信息被从所有标签和分支中删除的同一天将其恢复。Tj-actions 开发人员和安全公司分享了检查妥协指标 (IoCs) 和事件响应步骤的建议。
关于这起事件,说法不一。有人认为可能是由行事简单的威胁行动者发动的,或者可能只是为了引起对潜在风险的注意。一名研究人员提到一年前他曾发布文章,详述了针对 tj-actions/changed-files 的一个理论性攻击场景。
原文始发于微信公众号(代码卫士):热门 GitHub Action 遭供应链攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论