23 000 ta GitHub ombori tahdid ostida: Mashhur GitHub Action’da zaiflik topildi!

Bugungi kunda dasturiy ta’minot ishlab chiqish jarayonlari tobora avtomatlashtirilmoqda. GitHub Actions esa dasturchilar uchun qulay va samarali CI/CD vositasi hisoblanadi. Ammo yaqinda «tj-actions/changed-files» nomli mashhur GitHub Action’da xavfsizlik zaifligi aniqlanib, 23 000 dan ortiq omborlarga tahdid solmoqda.

Bu zaiflik CVE-2025-30066 identifikatori bilan belgilangan bo‘lib, CVSS ko‘rsatkichi 8.6 ga teng. Hujumchilar Action kodiga zararli o‘zgarishlar kiritgan va foydalanuvchilarning maxfiy ma’lumotlari ochiqlanishiga sabab bo‘lgan.

StepSecurity xavfsizlik tadqiqotchilarining ma’lumotlariga ko‘ra, hujumchilar GitHub’dagi @tj-actions-bot tomonidan ishlatiladigan shaxsiy kirish tokeni (PAT) ni qo‘lga kiritishgan. Bu token orqali ular «tj-actions/changed-files» Action’ining kodini o‘zgartirib, uni zararli kod bilan yangilaganlar.

Shundan so‘ng, ular eski versiya teglarini yangi zararli kodga yo‘naltirishgan. Bu shuni anglatadiki, bu Action’dan foydalangan har qanday CI/CD ish jarayoni hujumchilarning nazoratiga tushib qolgan.

Zararli kod CI/CD ish jarayonlari vaqtida xotirada saqlanadigan maxfiy ma’lumotlarni chiqarib yuboradi va ularni GitHub Actions jurnaliga yashirin kodlangan (Base64) ko‘rinishda joylashtiradi. Natijada quyidagi maxfiy ma’lumotlar xavf ostida qolgan:

✅ GitHub PAT (shaxsiy kirish tokenlari)
✅ API tokenlari
✅ NPM tokenlari
✅ Shaxsiy RSA kalitlari

Agar siz 2025-yil 14-martdan 15-martgacha ushbu Action’ni ishlatgan bo‘lsangiz, sizning maxfiy ma’lumotlaringiz ham oshkor bo‘lgan bo‘lishi mumkin!

GitHub qanday choralar ko‘rdi?

🔹 15-mart kuni GitHub zararli kodni olib tashladi va omborni tikladi.
🔹 StepSecurity va GitHub muhandislari bilan hamkorlikda yangilangan, xavfsiz versiya chiqarildi.
🔹 Action’ning yangi versiyasi (v46.0.1) chiqarildi, bu xavfsizlik zaifligini bartaraf etadi.

CISA (AQSh Kiberxavfsizlik va infratuzilmani himoya qilish agentligi) ham bu zaiflikni Ekspluatatsiya qilingan zaifliklar katalogiga qo‘shib, barcha tashkilotlarni tezkor choralar ko‘rishga chaqirdi.

CISA va xavfsizlik mutaxassislari quyidagi choralarni ko‘rishni tavsiya qilmoqdalar:

✅ Maxfiy ma’lumotlarni (tokenlar, API kalitlari) darhol yangilash.
✅ CI/CD ish jarayonlarini tekshirib, kutilmagan chiqishlar bor-yo‘qligini aniqlash.
✅ Versiya teglariga ishora qilish o‘rniga, aniq commit hash’laridan foydalanish.
✅ GitHub Actions’da faqat ishonchli manbalardan kelgan Action’larni ishlatish.
✅ Ombor kodini muntazam skanerlash va loglarni tekshirib borish.

Ushbu hujum yana bir bor ta’minot zanjiri hujumlari tobora kengayib borayotganini ko‘rsatdi. Har qanday uchinchi tomon vositalaridan foydalanganda, ayniqsa CI/CD jarayonlarida, xavfsizlik choralariga qat’iy rioya qilish zarur.

Agar siz GitHub Actions’dan foydalansangiz, o‘z omboringiz va CI/CD sozlamalaringizni tekshiring, maxfiy ma’lumotlarni yangilang va xavfsizlikni mustahkamlang!