Специалисты по кибербезопасности завершили расследование масштабной каскадной атаки на GitHub Actions, выявив, что из 23 000 репозиториев, использующих компонент tj-actions/changed-files, реальному риску подверглись только 218. Исследование показало, что основной целью злоумышленников являлась криптобиржа Coinbase, а последующее распространение атаки носило вторичный характер.
Механизм проведения каскадной атаки
Первоначальной точкой компрометации стал компонент reviewdog/action-setup@v1. Злоумышленники внедрили в него вредоносный код, направленный на извлечение CI/CD-секретов через журналы рабочих процессов. Используя эту уязвимость, атакующие получили доступ к токену персонального доступа (PAT) tj-actions/eslint-changed-files, что позволило им распространить вредоносный код дальше по цепочке поставок.
Масштаб воздействия и реальные последствия
Согласно данным Endor Labs, в период с 14 по 15 марта 2025 года на скомпрометированный GitHub Action ссылались 5416 репозиториев от 4072 организаций. Однако фактическое выполнение вредоносного кода произошло только в 614 случаях, из которых утечка секретов подтвердилась в 218 репозиториях. Большинство утечек затронули временные токены GitHub с 24-часовым сроком действия, хотя в отдельных случаях были скомпрометированы учетные данные DockerHub, npm и AWS.
Целевая атака на Coinbase
Исследования Palo Alto Unit 42 и Wiz показали, что первичной целью атаки был фреймворк coinbase/agentkit. Злоумышленники получили доступ к токену GitHub с правами на запись в репозиторий за два часа до начала массовой атаки. Однако попытка компрометации не увенчалась успехом — системы безопасности Coinbase предотвратили возможный ущерб.
Рекомендации по безопасности
Инцидент подчеркивает важность следования лучшим практикам безопасности при работе с GitHub Actions. Эффективными мерами защиты оказались: использование SHA коммитов вместо изменяемых тегов, ограничение срока действия токенов и тщательный контроль за публичными журналами CI/CD процессов. Обоим выявленным уязвимостям присвоены идентификаторы CVE-2025-30154 и CVE-2025-30066.
Этот инцидент демонстрирует растущую сложность атак на цепочки поставок и подчеркивает необходимость комплексного подхода к безопасности DevOps-процессов. Организациям рекомендуется регулярно проводить аудит используемых GitHub Actions и внедрять многоуровневые механизмы защиты CI/CD pipeline.
