23 000 репозиториев на GitHub под угрозой: Обнаружена уязвимость в популярном GitHub Action!

В современном мире процессы разработки программного обеспечения все больше автоматизируются. GitHub Actions является удобным и эффективным инструментом CI/CD для разработчиков. Однако недавно в популярном GitHub Action под названием «tj-actions/changed-files» была выявлена уязвимость, которая ставит под угрозу более 23 000 репозиториев.

Эта уязвимость получила идентификатор CVE-2025-30066 с CVSS-оценкой 8.6. Злоумышленники внесли вредоносные изменения в код Action, что привело к утечке конфиденциальных данных пользователей.

По данным специалистов по кибербезопасности из StepSecurity, злоумышленники получили доступ к персональному токену доступа (PAT), который использовался ботом @tj-actions-bot на GitHub. Через этот токен они изменили код «tj-actions/changed-files», внедрив в него вредоносный код.

Затем они обновили теги старых версий, чтобы они указывали на скомпрометированный код. Это означало, что любой CI/CD-процесс, использующий этот Action, становился уязвимым.

Вредоносный код во время работы CI/CD-процессов извлекал конфиденциальные данные из оперативной памяти и скрыто загружал их в логи GitHub Actions, зашифровывая в Base64.

Какие данные оказались под угрозой?

🔹 Личные токены доступа (GitHub PAT)
🔹 API-токены
🔹 Токены NPM
🔹 Личные RSA-ключи

❗ Если вы использовали этот Action в период с 14 по 15 марта 2025 года, ваши конфиденциальные данные могли быть скомпрометированы!

Какие меры предпринял GitHub?

✅ 15 марта GitHub удалил вредоносный код и восстановил репозиторий.
✅ Совместно со специалистами StepSecurity была выпущена обновленная безопасная версия.
✅ Вышла исправленная версия Action v46.0.1, устраняющая уязвимость.

Что рекомендуют CISA и эксперты по безопасности?

🔹 Срочно обновите все скомпрометированные токены и API-ключи.
🔹 Проверьте CI/CD-лог, чтобы обнаружить неожиданные утечки данных.
🔹 Вместо ссылок на теги версий используйте конкретные хэши коммитов.
🔹 Используйте только доверенные GitHub Actions из проверенных источников.
🔹 Регулярно сканируйте код репозитория и анализируйте логи на наличие подозрительной активности.

Этот инцидент в очередной раз подтверждает, что supply chain-атаки (атаки на цепочку поставок) становятся все более распространенными. При использовании сторонних инструментов, особенно в CI/CD-процессах, крайне важно соблюдать жесткие меры безопасности.

Если вы используете GitHub Actions, обязательно проверьте настройки своего репозитория, обновите конфиденциальные данные и примите меры для усиления защиты! 🔒

Служба реагирования
на инциденты кибербезопасности

Служба реагирования
на инциденты кибербезопасности

23 000 репозиториев на GitHub под угрозой: Обнаружена уязвимость в популярном GitHub Action!

Какие данные оказались под угрозой?

Какие меры предпринял GitHub?

Что рекомендуют CISA и эксперты по безопасности?

Какие данные оказались под угрозой?

Какие меры предпринял GitHub?

Что рекомендуют CISA и эксперты по безопасности?

Kali Linux 2025.1a: Новые возможности и обновленные инструменты

Вновь обнаруженная уязвимость в PHP угрожает Windows-системам

Обнаружена уязвимость в ядре Linux, остававшаяся незамеченной 7 лет