Gehen wir näher auf den tj-actions/changed-files Supply-Chain-Angriff ein. Lesen Sie weiter für eine Kurzfassung (TL;DR), was Sie tun sollten, was passiert ist und weitere Informationen.
TL;DR
- Der tj-actions/changed-files Die GitHub Action, die derzeit in über 23.000 Repositories verwendet wird, wurde kompromittiert, wodurch Secrets über Workflow-Logs geleakt und Tausende von CI-Pipelines beeinträchtigt wurden.
- Alle getaggten Versionen wurden modifiziert, wodurch tag-basiertes Pinning unsicher wird. Öffentliche Repositories sind am stärksten gefährdet, aber private Repos sollten ebenfalls ihre Exposition überprüfen.
- Sofortige Schritte umfassen die Identifizierung betroffener Workflows, das Entfernen aller Verweise auf die kompromittierte Action, das Rotieren von Secrets und das Überprüfen der Logs auf verdächtige Aktivitäten.
Aikidos Antwort: Wir haben eine neue SAST-Regel veröffentlicht, die jede Nutzung mit kritischer Schwere (Score 100) kennzeichnet. Aikido kann Ihre Github Actions automatisch pinnen, um diese Art von Exploit in Zukunft zu verhindern.
Zunächst, was sollten Sie tun?
Prüfen Sie, ob Sie betroffen sind von j-actions/changed-files Supply-Chain-Angriff:
A) Suchen nach tj-actions in Ihrer Codebasis
B) Verwenden Sie diese GitHub-Abfrage, um Referenzen zur betroffenen GitHub-Action in den Repositories Ihrer Organisation zu finden (ersetzen Sie [your-org] durch den Namen Ihrer Organisation).
Verwendung einstellen tj-actions/changed-files so schnell wie möglich und alle Verweise auf die kompromittierte Aktion entfernen.
Rotieren Sie die Secrets der betroffenen Pipelines und überprüfen Sie die Logs Ihrer (Drittanbieter-)Dienste auf verdächtige Nutzung der exponierten Tokens; konzentrieren Sie sich zuerst auf Repositories mit öffentlich zugänglichen CI-Runner-Logs.
Gehen wir näher auf den Angriff ein: Was ist passiert?
Ein Sicherheitsvorfall, der die/den betrifft tj-actions/changed-files Die GitHub Action wurde Mitte März 2025 identifiziert. Angreifer haben bösartigen Code eingeschleust, der CI/CD-Secrets über Workflow-Logs offengelegt hat. Der Vorfall wurde zuerst von Step Security gemeldet und erhielt die CVE-Nummer CVE-2025-30066.
Während weiterhin Unklarheit darüber herrscht, was genau passiert ist und wie der Code gepusht wurde, deuten die meisten Berichte darauf hin, dass der Angreifer ein GitHub Personal Access Token (PAT) kompromittiert hat, das mit dem tj-actions-bot-Konto verknüpft war. Dies ermöglichte es dem Angreifer, unautorisierte Änderungen vorzunehmen, bösartigen Code einzuschleusen und Versionstags zu manipulieren.
Zeitleiste der Ereignisse:
Vor dem 14. März 2025: Der bösartige Code begann, betroffene Repositories zu beeinträchtigen, wodurch Secrets in öffentliche Logs gelangten.
14. März 2025: Sicherheitsforscher identifizierten die Kompromittierung und schärften das Bewusstsein.
15. März 2025: Das auf GitHub Gist gehostete bösartige Skript wurde entfernt. Das kompromittierte Repository wurde kurzzeitig offline genommen, um die bösartigen Änderungen rückgängig zu machen, und später ohne die schädlichen Commits wiederhergestellt.
15. März 2025: Das Repo ist wieder online mit einem Statement zum Angriff; der Maintainer hat sich ebenfalls zum Angriff geäußert.
Obwohl die unmittelbare Bedrohung behoben wurde, könnten gecachte Versionen der kompromittierten Aktion immer noch ein Risiko darstellen. Proaktive Maßnahmen sind notwendig, um sensible Zugangsdaten zu sichern.
Was sind die Auswirkungen des tj-actions/changed-files Angriffs?
Repositories, die beliebte [X] nutzen tj-actions/changed-files, insbesondere öffentliche, riskieren das Leaken der in ihren Pipelines verwendeten Secrets. Diese Secrets wurden in Workflow-Logs durch den bösartigen Code des Bedrohungsakteurs offengelegt. Obwohl keine bestätigte externe Datenexfiltration stattfand, konnten Logs öffentlicher Repositories von böswilligen Akteuren eingesehen werden. Private Repositories sind weniger betroffen, sollten aber dennoch ihre Exposition bewerten und Secrets rotieren, falls betroffen.
Öffentliche Repositories: Hohes Risiko aufgrund der öffentlichen Offenlegung von Workflow-Logs, die Secrets enthalten.
Private Repositories: Geringeres Risiko, aber aktive Secrets in Ihren Workflow-Logs offenzulegen, stellt immer noch ein erhebliches Risiko dar.
Nutzer mit gecachten Aktionen: Workflows, die die kompromittierte Aktion gecacht haben, können weiterhin gefährdet sein, bis die Caches geleert werden.
Wie kann Aikido helfen?
Wir haben ein neue SAST-Regel das jegliche markiert tj-actions/changed-files Nutzung mit Kritische Schwere (Score 100). Wenn Sie Aikido bereits nutzen, sind Sie abgesichert. Falls Sie noch kein Aikido-Konto haben, können Sie Ihre Einrichtung in wenigen Sekunden verbinden und scannen.
Über diesen Angriff hinaus pinnt Aikido auch automatisch Ihre GitHub Actions, um diese Art von Exploit in Zukunft zu verhindern.
Und unser proprietärer Malware-Threat-Feed – Aikido Intel – erkennt Malware innerhalb von 3 Minuten nach der Veröffentlichung auf npm, pypi und wird bald auf GitHub Actions erweitert.
Wir vereinfachen die Sicherheit Ihrer Software Supply Chain und bieten Ihnen die frühestmögliche Warnung vor neuen Risiken und Angriffen.
Erfahren Sie mehr über den Angriff:
- Eine detaillierte Analyse zu „Understanding and Re-Creating the tj-actions/changed-files Supply Chain Attack“ von Latio Analyst, James Berthoty. James zeigt Ihnen auch, wie Sie den Angriff in Ihrer eigenen Umgebung nachstellen können, um Ihren Sensor zu testen (seien Sie vorsichtig).
- Step Security, die den Angriff zuerst gemeldet haben, veröffentlichten eine Untersuchungsanalyse: “Harden-Runner detection: tj-actions/changed-files action is compromised”
- CVE-2023-51664 anzeigen
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
