Масштабний інцидент кібербезпеки сколихнув спільноту розробників у березні 2025 року, коли було виявлено серйозну компрометацію широко використовуваного пакету tj-actions/changed-files на платформі GitHub Actions. Атака безпрецедентного масштабу зачепила понад 23 000 організацій, призвівши до витоку критично важливих даних з публічних репозиторіїв.
Анатомія кібератаки: як працював механізм компрометації
Зловмисники реалізували витончену атаку через маніпуляцію з системою версіонування GitHub. 14 березня було виявлено несанкціоновані модифікації у всіх версіях пакету tj-actions/changed-files. Основним вектором атаки стала підміна тегів версій, які замість легітимного коду вказували на шкідливе програмне забезпечення. Впроваджений малваре здійснював систематичне сканування серверної пам’яті та автоматизовану ексфільтрацію конфіденційних даних через системні журнали.
Масштаби витоку та викрадені дані
За результатами розслідування компанії Wiz, шкідливе навантаження успішно викрадало широкий спектр конфіденційної інформації, включаючи: ключі доступу до хмарних сервісів AWS, персональні токени доступу GitHub (PAT), облікові дані npm та приватні RSA-ключі. Особливу небезпеку становив той факт, що для публічних репозиторіїв викрадені дані ставали доступними через логи робочих процесів.
Виявлення та протидія кіберзагрозі
Першими підозрілу активність зафіксували фахівці StepSecurity під час планового моніторингу мережевого трафіку 15 березня. Команда безпеки GitHub оперативно відреагувала на інцидент, заблокувавши скомпрометовані облікові записи та видаливши шкідливий код. Для запобігання подальшим атакам мейнтейнер проекту впровадив посилені заходи захисту, включаючи двофакторну автентифікацію та технологію passkey.
Рекомендації щодо посилення безпеки CI/CD процесів
Провідний експерт з кібербезпеки Ейч Ді Мур наголошує на необхідності впровадження більш надійних практик при роботі з GitHub Actions: замість використання тегів рекомендується прив’язувати робочі процеси до конкретних хешів комітів після ретельного аудиту вихідного коду. Хоча такий підхід вимагає додаткових зусиль, він суттєво знижує ризики компрометації через ланцюжок постачання.
Цей інцидент яскраво демонструє критичну важливість регулярного аудиту безпеки та дотримання принципу мінімальних привілеїв у системах безперервної інтеграції та розгортання. Організаціям наполегливо рекомендується провести термінову перевірку своїх репозиторіїв на ознаки компрометації та оновити політики безпеки при використанні сторонніх Actions. Впровадження багаторівневої системи захисту та постійний моніторинг активності стають обов’язковими елементами сучасної стратегії кібербезпеки.