Una grave vulnerabilidad de seguridad ha sido detectada en marzo de 2025 en el popular paquete tj-actions/changed-files de GitHub Actions, comprometiendo datos sensibles de más de 23.000 organizaciones. Este incidente representa uno de los mayores ataques a la cadena de suministro de software registrados en la plataforma hasta la fecha.
Vector de Ataque y Alcance de la Vulnerabilidad
Los atacantes ejecutaron una sofisticada manipulación del sistema de etiquetado de versiones de GitHub, modificando los tags del paquete tj-actions/changed-files para redirigir a código malicioso. La técnica empleada permitió la infiltración de un payload diseñado específicamente para extraer información confidencial de los servidores mediante la explotación de los logs del sistema.
Impacto y Datos Comprometidos
Según el análisis realizado por los investigadores de Wiz, el ataque logró extraer múltiples credenciales críticas, incluyendo: claves de acceso AWS, tokens personales de GitHub (PAT), credenciales de npm y claves privadas RSA. La gravedad del incidente se intensificó debido a que los logs de los workflows públicos exponían esta información sensible a cualquier usuario de la plataforma.
Detección y Medidas de Contención
El equipo de StepSecurity identificó patrones anómalos de tráfico de red el 15 de marzo, lo que llevó a la detección inicial del incidente. La respuesta de GitHub fue inmediata, implementando medidas de contención que incluyeron la suspensión temporal de las cuentas afectadas y la eliminación del código malicioso. El mantenedor del proyecto implementó posteriormente protecciones adicionales, incluyendo autenticación de dos factores y tecnología passkey.
Recomendaciones de Seguridad para Desarrolladores
Los expertos en seguridad recomiendan implementar prácticas más robustas al utilizar GitHub Actions. Es fundamental vincular los workflows a hashes de commits específicos en lugar de tags, realizando previamente una auditoría exhaustiva del código fuente. Aunque este enfoque requiere mayor esfuerzo de mantenimiento, proporciona una capa adicional de seguridad contra ataques a la cadena de suministro.
Este incidente subraya la necesidad crítica de implementar controles de seguridad más estrictos en los procesos de CI/CD. Las organizaciones deben priorizar la realización de auditorías regulares de seguridad, implementar el principio de mínimo privilegio y establecer procesos de verificación rigurosos para las dependencias de terceros. La adopción de estas medidas es fundamental para prevenir futuros compromisos de seguridad en la cadena de suministro de software.
