Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA) của Hoa Kỳ hôm thứ Ba đã thêm một lỗ hổng liên quan đến vụ xâm phạm chuỗi cung ứng của GitHub Action, tj-actions/changed-files, vào danh mục Các Lỗ hổng Đã Biết Bị Khai thác (KEV) của mình.

Lỗ hổng nghiêm trọng cao, được theo dõi là CVE-2025-30066 (điểm CVSS: 8.6), liên quan đến việc xâm phạm GitHub Action để chèn mã độc cho phép kẻ tấn công từ xa truy cập dữ liệu nhạy cảm thông qua nhật ký hành động. “GitHub Action tj-actions/changed-files chứa một lỗ hổng mã độc nhúng cho phép kẻ tấn công từ xa khám phá các bí mật bằng cách đọc nhật ký hành động,” CISA cho biết trong một cảnh báo. “Những bí mật này có thể bao gồm, nhưng không giới hạn ở, khóa truy cập AWS hợp lệ, mã thông báo truy cập cá nhân (PAT) của GitHub, mã thông báo npm và khóa RSA riêng tư”.

Công ty an ninh đám mây Wiz kể từ đó đã tiết lộ rằng cuộc tấn công có thể là một trường hợp tấn công chuỗi cung ứng theo tầng, với các tác nhân đe dọa chưa xác định đầu tiên xâm phạm GitHub Action reviewdog/action-setup@v1 để xâm nhập vào tj-actions/changed-files. “tj-actions/eslint-changed-files sử dụng reviewdog/action-setup@v1 và kho lưu trữ tj-actions/changed-files chạy Action tj-actions/eslint-changed-files này bằng Mã thông báo Truy cập Cá nhân,” nhà nghiên cứu Rami McCarthy của Wiz cho biết. “Action reviewdog đã bị xâm phạm trong khoảng cùng thời gian với vụ xâm phạm PAT của tj-actions”.

Hiện tại vẫn chưa rõ điều này đã xảy ra như thế nào. Nhưng vụ xâm phạm được cho là đã xảy ra vào ngày 11 tháng 3 năm 2025. Vụ xâm phạm tj-actions/changed-files đã xảy ra vào một thời điểm nào đó trước ngày 14 tháng 3. Điều này có nghĩa là action reviewdog bị nhiễm có thể được sử dụng để chèn mã độc vào bất kỳ quy trình CI/CD nào sử dụng nó, trong trường hợp này là một payload được mã hóa Base64 được thêm vào một tệp có tên install.sh được sử dụng bởi quy trình. Giống như trường hợp của tj-actions, payload này được thiết kế để tiết lộ các bí mật từ các kho lưu trữ đang chạy quy trình trong nhật ký. Vấn đề chỉ ảnh hưởng đến một tag (v1) của reviewdog/action-setup.

Những người bảo trì tj-actions đã tiết lộ rằng cuộc tấn công là kết quả của một Mã thông báo Truy cập Cá nhân (PAT) Github bị xâm phạm, cho phép kẻ tấn công sửa đổi kho lưu trữ bằng mã trái phép. “Chúng tôi có thể biết kẻ tấn công đã có đủ quyền truy cập để cập nhật tag v1 thành mã độc mà chúng đã đặt trên một nhánh của kho lưu trữ,” McCarthy nói. “Tổ chức Github reviewdog có một cơ sở cộng tác viên tương đối lớn và dường như đang tích cực thêm cộng tác viên thông qua các lời mời tự động. Điều này làm tăng bề mặt tấn công đối với việc quyền truy cập của một cộng tác viên bị xâm phạm hoặc quyền truy cập của cộng tác viên bị giành được một cách độc hại”.

Trước tình hình xâm phạm, người dùng và các cơ quan liên bang bị ảnh hưởng được khuyến nghị cập nhật lên phiên bản mới nhất của tj-actions/changed-files (46.0.1) trước ngày 4 tháng 4 năm 2025, để bảo vệ mạng của họ chống lại các mối đe dọa đang hoạt động. Nhưng do nguyên nhân gốc rễ, vẫn có nguy cơ tái diễn. Bên cạnh việc thay thế các action bị ảnh hưởng bằng các giải pháp thay thế an toàn hơn, nên kiểm tra các quy trình làm việc trước đây để tìm các hoạt động đáng ngờ, xoay vòng bất kỳ bí mật nào bị rò rỉ và ghim tất cả các GitHub Actions vào các commit hash cụ thể thay vì các tag phiên bản

Security365