美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）于本周二將一項(xiàng)與 GitHub Action tj-actions/changed-files 供應(yīng)鏈攻擊相關(guān)的漏洞添加至其已知可利用漏洞（KEV）目錄中。

高危漏洞允許攻擊者竊取敏感數(shù)據(jù)

該高危漏洞被標(biāo)記為 CVE-2025-30066（CVSS 評分：8.6），涉及 GitHub Action 的入侵，攻擊者通過注入惡意代碼可遠(yuǎn)程訪問敏感數(shù)據(jù)。CISA在警報中表示：“tj-actions/changed-files GitHub Action 存在嵌入式惡意代碼漏洞，允許遠(yuǎn)程攻擊者通過讀取操作日志來發(fā)現(xiàn)機(jī)密信息。這些機(jī)密信息可能包括但不限于有效的 AWS 訪問密鑰、GitHub 個人訪問令牌（PAT）、npm 令牌以及私有的 RSA 密鑰?！?/p>

供應(yīng)鏈攻擊鏈的復(fù)雜過程

云安全公司 Wiz 隨后透露，此次攻擊可能是一次連鎖供應(yīng)鏈攻擊的實(shí)例，不明身份的威脅行動者首先入侵了 reviewdog/action-setup@v1 GitHub Action，進(jìn)而滲透到 tj-actions/changed-files。Wiz 研究員 Rami McCarthy 表示：“tj-actions/eslint-changed-files 使用了 reviewdog/action-setup@v1，而 tj-actions/changed-files 倉庫使用個人訪問令牌運(yùn)行了該 Action。reviewdog Action 的入侵時間與 tj-actions PAT 被竊的時間大致相同?！?/p>

目前尚不清楚該入侵是如何發(fā)生的，但據(jù)稱入侵發(fā)生在 2025 年 3 月 11 日，而 tj-actions/changed-files 的泄露則發(fā)生在 3 月 14 日之前的某個時間點(diǎn)。這意味著被感染的 reviewdog Action 可能被用于向使用它的任何 CI/CD 工作流中插入惡意代碼，例如在名為 install.sh 的文件中追加 Base64 編碼的有效負(fù)載。

維護(hù)者披露攻擊細(xì)節(jié)及應(yīng)對措施

tj-actions 的維護(hù)者披露，此次攻擊是由于 GitHub 個人訪問令牌（PAT）被竊所致，攻擊者利用該令牌在倉庫中植入了未授權(quán)的代碼。McCarthy 補(bǔ)充道：“我們可以確認(rèn)，攻擊者獲得了足夠的權(quán)限，可以將 v1 標(biāo)簽更新為他們在倉庫分叉上放置的惡意代碼。reviewdog GitHub 組織的貢獻(xiàn)者基數(shù)相對較大，并且似乎通過自動邀請積極增加貢獻(xiàn)者。這在無形中擴(kuò)大了攻擊面，使得攻擊者可以竊取貢獻(xiàn)者的訪問權(quán)限，或惡意獲得貢獻(xiàn)者訪問權(quán)限?！?/p>

建議與后續(xù)防范

鑒于此次事件，CISA 建議受影響的用戶和聯(lián)邦機(jī)構(gòu)在 2025 年 4 月 4 日前更新至 tj-actions/changed-files 的最新版本（46.0.1），以防范正在活躍的威脅。但由于根本原因尚未完全解決，未來仍有再次發(fā)生類似事件的風(fēng)險。除了用更安全的替代方案替換受影響的 Action 外，還建議用戶審核過去的工作流是否存在可疑活動，輪換所有泄露的機(jī)密信息，并將所有 GitHub Actions 固定到特定的提交哈希值，而不是版本標(biāo)簽。