В марте 2025 года специалисты по кибербезопасности обнаружили серьезную компрометацию популярного пакета tj-actions/changed-files на платформе GitHub Actions. Инцидент затронул более 23 000 организаций и привел к масштабной утечке конфиденциальных данных из публичных репозиториев.
Механизм атаки и последствия для безопасности
14 марта злоумышленники внесли несанкционированные изменения в исходный код всех версий tj-actions/changed-files. Атака была реализована через модификацию тегов, которые разработчики используют для указания на конкретные версии пакета. Измененные теги указывали на вредоносный файл, который осуществлял сканирование внутренней памяти серверов и автоматическую эксфильтрацию учетных данных через системные логи.
Технические детали компрометации
По данным экспертов компании Wiz, вредоносная полезная нагрузка успешно похищала различные типы конфиденциальной информации, включая: ключи доступа AWS, персональные токены доступа GitHub (PAT), токены npm и приватные ключи RSA. Особую опасность представляло то, что в случае публичных репозиториев эти данные становились доступны любому пользователю через логи рабочих процессов.
Обнаружение и реагирование на инцидент
Первыми аномальную активность зафиксировали специалисты StepSecurity, заметив подозрительный сетевой трафик 15 марта. GitHub оперативно отреагировал на инцидент, временно заблокировав скомпрометированные учетные записи и удалив вредоносный контент. Мейнтейнер проекта усилил защиту аккаунта, внедрив двухфакторную аутентификацию и технологию passkey.
Рекомендации по защите
Эксперт по безопасности Эйч Ди Мур рекомендует разработчикам использовать более безопасный подход при работе с GitHub Actions: вместо тегов следует привязывать рабочие процессы к конкретным хешам коммитов после тщательного аудита исходного кода. Хотя этот метод требует дополнительных усилий, он существенно снижает риски компрометации через цепочку поставок.
Данный инцидент подчеркивает критическую важность регулярного аудита безопасности и применения принципа наименьших привилегий при работе с системами непрерывной интеграции и доставки. Организациям рекомендуется провести проверку своих репозиториев на предмет возможной компрометации и обновить политики безопасности при использовании сторонних Actions.