摘要:在GitHub Actions持续集成和持续交付/部署(CI/CD)平台中使用一个流行工具的应用程序开发团队需要清理他们的代码,因为该工具上周遭入侵,导致凭证被盗。
研究人员称GitHub CI/CD环境中的工具遭入侵,凭证被盗,信息安全负责人需立即采取行动。
在GitHub Actions持续集成和持续交付/部署(CI/CD)平台中使用一个流行工具的应用程序开发团队需要清理他们的代码,因为该工具上周遭入侵,导致凭证被盗。
这一警告是在StepSecurity的研究人员发现tj-actions/changed-files工具的所有版本(直至45.0.7版本)在3月14日均被威胁行为者篡改后发出的。通常,该工具可帮助开发人员检测存储库中的文件更改,但GitHub的一份咨询报告称,此次更改执行了一个恶意Python脚本,使得远程攻击者能够通过读取操作日志来发现诸如API密钥、访问令牌和密码等秘密信息。
此次入侵事件已被指定为CVE-2025-30066。
据Endor Labs的一份报告显示,该工具在23000多个GitHub存储库中使用。报告称,该遭篡改的工具可能会影响数千条CI管道。
GitHub在3月16日停止了对该工具的访问,并用一个修补过的版本进行了替换。
CI/CD管道中的秘密信息可能已泄露
Endor Labs警告称:“任何在CI管道中创建软件包或容器的公共存储库都可能已受到影响,这意味着数千个开源软件包有可能已被篡改。”
Endor表示,攻击者可能不是在寻找公共存储库中的秘密信息,因为它们是公开的。“他们可能试图破坏用此工具创建的其他开源库、二进制文件和工件的软件供应链。”
Endor补充说,该警告适用于拥有私有存储库和公共存储库的开发团队。“如果这些存储库共享用于工件或容器注册表的CI/CD管道秘密,则这些注册表可能已被破坏。
“我们目前没有证据表明任何下游开源库或容器已受到影响。但我们敦促开源维护者和安全社区与我们一道密切关注可能出现的二次泄露事件。”
在周一的一次采访中,Endor Labs的CTO Dimitri Stiliadis表示,使用该tj-actions工具的应用程序存在受损风险。但他补充道,黑客可能会利用从Docker Hub或其他开源存储库中窃取的凭证来访问其他软件包并插入恶意软件。“我们可能会有被恶意软件感染的软件包,但无人知晓。”“数量可能成千上万,甚至数百万……我们目前不知道实际损害程度。我们将在未来几天内有所了解。”
Wiz Threat Research的研究人员在一篇博客文章中表示,他们已确定“数十个”受影响且暴露敏感信息的公共存储库,并正在联系受影响的各方。
GitHub的建议
为了确定其存储库是否受到影响,信息安全负责人应审核GitHub日志以查找可疑IP地址。如果发现可疑IP地址,则需要轮换存储库中的活动秘密。
Wiz Threat Research的研究人员也表示,按照GitHub的建议,开发人员应将所有GitHub Actions固定到特定的提交哈希值,而不是版本标签,以减轻未来供应链攻击的风险。他们还应使用GitHub的允许列表功能来阻止未经授权的GitHub Actions运行,并配置GitHub以仅允许受信任的操作。
“一起非常严重的事件”
在周一上午的一次采访中,StepSecurity的CEO Varun Sharma称其为“一起非常严重的事件”。StepSecurity是一家为CI/CD环境提供端点检测和响应工具的公司,该公司发现使用tj-actions/changed-files的工作流存在异常出站网络连接,并警告GitHub称,已插入该工具的恶意版本以在构建日志中暴露CI/CD凭证。
“虽然原始版本已恢复,”他补充道,“但目前尚不清楚其被篡改的原因。”
他表示,信息安全或开发负责人应:
• 审查tj-actions/changed-files在工作流中的使用情况;
• 确定受篡改版本是否在CI/CD管道中使用;
• 如果受影响,请立即轮换暴露的凭证,包括API密钥、访问令牌和密码;
• 切换到该工具的安全替代版本或升级到修补过的版本。
一种高效的入侵手段
威胁行为者已经发现,在软件开发过程中进行破坏是一种高效手段,可让他们渗透到各种IT环境中,而无需一次又一次地攻击单个应用程序。GitHub和其他开源代码存储库(如NPM、GitLab、Ruby on Rails和PyPI)越来越受到黑客的滥用。
就在一年多前,我们报道了安全研究人员如何证明GitHub Action中的Bazel可能被植入后门。在2012年,我们报道了一个Rails漏洞,该漏洞可能被利用以通过Web表单将未经授权的数据插入到Rails应用程序数据库中。
因此,CISO必须确保其应用程序开发人员在使用开源平台磨练代码时遵循安全最佳实践。
来源:小贾看科技
