هجوم سلسلة التوريد على عمل GitHub على نطاق واسع “TJ-Actions/تم تغيير ملفات” ، التي تستخدمها 23000 مستودع ، من المحتمل أن يسمح لجهات الفاعلة التهديد بسرقة أسرار CI/CD من سجلات GitHub.
يعد GitHub Action أداة أتمتة شائعة جدًا مصممة لسير عمل إجراءات GitHub. يسمح للمطورين بتحديد الملفات التي تم تغييرها في طلب سحب أو الالتزام واتخاذ الإجراءات بناءً على تلك التغييرات ، المستخدمة عمومًا في الاختبار ، وإطلاق سير العمل ، والرمز الآلي والتحقق من الصحة.
مثل”https://www.stepsecurity.io/blog/harden-runner-detection-tj-actions-changed-files-action-is-compromised” الهدف=”_blank” rel=”nofollow noopener”> أبلغت لأول مرة عن طريق الأمن، أضاف المهاجمون التزامًا ضارًا بالأداة في 14 مارس 2025 ، الساعة 4:00 مساءً بالتوقيت العالمي ، ألقوا أسرار CI/CD من عملية العمال العداء إلى مستودع أي مشاريع باستخدام الإجراء. نتيجة لذلك ، إذا كانت سجلات سير العمل متاحة للجمهور ، فيمكن لأي شخص قراءة وسرقة أسرار مكشوفة.
قام المهاجمون بتعديل رمز الإجراء وعلامات الإصدار المتعددة المحدثة بأثر رجعي للإشارة إلى أ”https://github.com/tj-actions/changed-files/commit/0e58ed8671d6b60d0890c21b07f8835ace038e67″ الهدف=”_blank” rel=”nofollow noopener”> الالتزام الخبيث، لذلك تم اختراق جميع إصدارات الأداة.
حسب”https://github.com/tj-actions/changed-files/issues/2464#issuecomment-2727020537″ الهدف=”_blank” rel=”nofollow noopener”> آخر تحديث للمطورين، قام المهاجم بطرح رمز الوصول الشخصي لـ GitHub (PAT) الذي يستخدمه الروبوت (@TJ-Actions-Bot) ، والذي كان لديه وصول متميز إلى مستودع الأداة. ومع ذلك ، فمن غير الواضح حاليًا كيف تم اختراق بات بالضبط.
في 15 مارس ، 2:00 مساءً بالتوقيت العالمي ، قام جيثب بإزالة الإجراء المعرض للخطر ، وفي الساعة 10:00 مساءً بالتوقيت العالمي في نفس اليوم ، تمت استعادة المستودع مع إزالة الكود الضار.
ومع ذلك ، فإن التسوية لها تداعيات دائمة لمشاريع البرمجيات المتأثرة ، وبالتالي معرف CVE (“https://nvd.nist.gov/vuln/detail/CVE-2025-30066″ الهدف=”_blank” rel=”nofollow noopener”> CVE-2025-30066) تم تعيينه لحادث التتبع.
من الغريب أن الكود الضار لم يخرج من إخراج الذاكرة إلى خادم بعيد ، بدلاً من ذلك فقط يجعله مرئيًا في المستودعات التي يمكن الوصول إليها للجمهور.
“The compromised action injected malicious code into any CI workflows using it, dumping the CI runner memory containing the workflow secrets,” يشرح ويز في الكتابة على الحادث.
“On public repositories, the secrets would then be visible to everyone as part of the workflow logs, though obfuscated as a double-encoded base64 payload.”
المصدر: Wiz
تم تحديث مستودع TJ-Actions المستعاد في وقت سابق اليوم إلى”https://github.com/tj-actions/changed-files” الهدف=”_blank” rel=”nofollow noopener”> تضمين التعليمات على ما يحتمل أن يتأثر المستخدمون بالقيام به ، والذي يتضمن:
- قم بتدوير أي أسرار تستخدم خلال الإطار الزمني للهجوم (14-15 مارس)
- مراجعة سير العمل إلى الإخراج غير المتوقع ضمن قسم “الملفات المتغيرة”
- إذا كانت سير العمل الخاصة بك تشير إلى الالتزام المعرض للخطر من قبل SHA ، فقم بتحديثها على الفور.
- تأكد من أنك تستخدم الآن إصدارًا معلمًا (على سبيل المثال ، v35 ، v44.5.1)
لمنع التعرض للأسرار للاضطرابات المتشابهة في المستقبل ، فهو كذلك”https://docs.github.com/en/actions/security-for-github-actions/security-guides/security-hardening-for-github-actions#using-third-party-actions” الهدف=”_blank” rel=”nofollow noopener”> يوصي جيثب أن جميع إجراءات github يتم تجزئة تجزئة محددة بدلاً من علامات الإصدار.
أيضًا ، يوفر Github وظائف إدراجية يمكن الاستفادة منها لمنع إجراءات GitHub غير المصرح بها/غير الموثوقة.