Sự xâm nhập GitHub Action gây nguy cơ rò rĩ thông tin bí mật CI/CD ở hơn 23.000 kho lưu trữ

Các nhà nghiên cứu an ninh mạng đang kêu gọi chú ý đến một sự cố GitHub Action phổ biến tj-actions/changed-files đã bị xâm phạm làm rò rỉ bí mật từ các kho lưu trữ sử dụng quy trình làm việc tích hợp liên tục và phân phối liên tục (CI/CD). Sự cố liên quan…

IT-PRO

Sự cố liên quan đến GitHub Action tj-actions/changed-files, được sử dụng trong hơn 23.000 kho lưu trữ , được sử dụng để theo dõi và truy xuất tất cả các tệp và thư mục đã thay đổi. Việc xâm nhập chuỗi cung ứng đã được gán mã định danh CVE CVE-2025-30066 (điểm CVSS: 8.6). Sự cố được cho là đã xảy ra vào khoảng thời gian trước ngày 14 tháng 3 năm 2025. “Trong cuộc tấn công này, những kẻ tấn công đã sửa đổi mã của hành động và cập nhật hồi tố nhiều thẻ phiên bản để tham chiếu đến commit độc hại,”

Kết quả của hành vi này là nếu nhật ký quy trình làm việc có thể truy cập công khai, chúng có thể dẫn đến việc tiết lộ trái phép các bí mật nhạy cảm khi hành động được chạy trên các kho lưu trữ. Điều này bao gồm khóa truy cập AWS, Mã thông báo truy cập cá nhân (PAT) GitHub, mã thông báo npm và Khóa RSA riêng tư, cùng nhiều thứ khác. Tuy nhiên, không có bằng chứng nào cho thấy các bí mật bị rò rỉ đã bị hút về bất kỳ cơ sở hạ tầng nào do kẻ tấn công kiểm soát. Cụ thể, mã được chèn độc hại được thiết kế để chạy một tập lệnh Python được lưu trữ trên GitHub gist, tập lệnh này đổ các bí mật CI/CD từ quy trình Runner Worker. Nó được cho là có nguồn gốc từ một commit mã nguồn chưa được xác minh. GitHub gist đó đã bị gỡ xuống.

“tj-actions/change-files được sử dụng trong quy trình phát triển phần mềm của một tổ chức,” Dimitri Stiliadis, CTO và đồng sáng lập của Endor Labs, chia sẻ . “Sau khi các nhà phát triển viết và xem xét mã, họ thường xuất bản vào nhánh chính của kho lưu trữ của họ. Từ đó, ‘pipeline’ sẽ lấy nó, xây dựng nó cho sản xuất và triển khai nó”. “tj-actions/change-files giúp phát hiện các thay đổi tệp trong kho lưu trữ. Nó cho phép bạn kiểm tra những tệp nào đã được thêm, sửa đổi hoặc xóa giữa các commit, nhánh hoặc yêu cầu kéo”.

“Những kẻ tấn công đã sửa đổi mã của hành động và cập nhật hồi tố nhiều thẻ phiên bản để tham chiếu đến commit độc hại. Action bị xâm nhập hiện thực thi một tập lệnh Python độc hại, tập lệnh này đổ các bí mật CI/CD, gây ảnh hưởng đến hàng nghìn pipeline CI”. Công ty an ninh mạng Sysdig cho biết việc xâm nhập tj-actions/changed-files làm nổi bật rủi ro ngày càng tăng của các cuộc tấn công chuỗi cung ứng trong môi trường CI/CD. Aqua, công ty cũng đã xem xét vấn đề này, lưu ý rằng payload độc hại đã được “ẩn giấu cẩn thận” để tránh bị các công cụ quét tự động phát hiện.

Những người duy trì dự án đã tuyên bố rằng (những) tác nhân đe dọa không xác định đứng sau vụ việc đã xâm phạm thành công mã thông báo truy cập cá nhân (PAT) GitHub được sử dụng bởi @tj-actions-bot, một bot có quyền truy cập đặc quyền vào kho lưu trữ bị xâm nhập. Sau khi phát hiện, mật khẩu của tài khoản đã được cập nhật, xác thực đã được nâng cấp để sử dụng khóa truy cập và mức quyền của nó đã được cập nhật theo nguyên tắc đặc quyền tối thiểu. GitHub cũng đã thu hồi PAT bị xâm phạm. “Mã thông báo truy cập cá nhân bị ảnh hưởng đã được lưu trữ dưới dạng bí mật GitHub action và đã bị thu hồi,” những người duy trì cho biết thêm. “Trong tương lai, sẽ không có PAT nào được sử dụng cho tất cả các dự án trong tổ chức tj-actions để ngăn chặn mọi rủi ro tái diễn”.

Bất kỳ ai sử dụng GitHub Action này đều được khuyên nên cập nhật lên phiên bản mới nhất (46.0.1) càng sớm càng tốt. Người dùng cũng được khuyên nên xem xét tất cả các quy trình làm việc đã thực thi trong khoảng thời gian từ ngày 14 đến ngày 15 tháng 3 và kiểm tra “đầu ra bất ngờ trong phần changed-files”. Đây không phải là lần đầu tiên một vấn đề bảo mật được gắn cờ trong Action tj-actions/changed-files. Vào tháng 1 năm 2024, nhà nghiên cứu bảo mật Adnan Khan đã tiết lộ chi tiết về một lỗ hổng nghiêm trọng (CVE-2023-49291, điểm CVSS: 9.8) ảnh hưởng đến tj-actions/changed-files và tj-actions/branch-names, lỗ hổng này có thể mở đường cho việc thực thi mã tùy ý.

Sự phát triển này một lần nữa nhấn mạnh cách phần mềm nguồn mở đặc biệt dễ bị rủi ro chuỗi cung ứng, điều này sau đó có thể gây ra hậu quả nghiêm trọng cho nhiều khách hàng hạ nguồn cùng một lúc. “Tính đến ngày 15 tháng 3 năm 2025, tất cả các phiên bản của tj-actions/changed-files đều bị ảnh hưởng, vì kẻ tấn công đã sửa đổi thành công các thẻ phiên bản hiện có để tất cả chúng trỏ đến mã độc hại của chúng,” công ty an ninh đám mây Wiz cho biết. “Những khách hàng đang sử dụng phiên bản được ghim bằng hash của tj-actions/changed-files sẽ không bị ảnh hưởng, trừ khi họ đã cập nhật lên một hash bị ảnh hưởng trong khung thời gian khai thác”