CISA 警告 GitHub Action 供应链攻击已遭利用

美国网络安全和基础设施安全局（CISA）于本周二将一项与 GitHub Action tj-actions/changed-files 供应链攻击相关的警告击已漏洞添加至其已知可利用漏洞（KEV）目录中
。

高危漏洞允许攻击者窃取敏感数据

该高危漏洞被标记为 CVE-2025-30066（CVSS 评分：8.6），链攻涉及 GitHub Action 的遭利入侵 ，攻击者通过注入恶意代码可远程访问敏感数据 。警告击已CISA在警报中表示 ：“tj-actions/changed-files GitHub Action 存在嵌入式恶意代码漏洞，链攻允许远程攻击者通过读取操作日志来发现机密信息 。遭利这些机密信息可能包括但不限于有效的警告击已 AWS 访问密钥、GitHub 个人访问令牌（PAT）、链攻npm 令牌以及私有的遭利 RSA 密钥。”

供应链攻击链的服务器租用警告击已复杂过程

云安全公司 Wiz 随后透露，此次攻击可能是链攻一次连锁供应链攻击的实例 ，不明身份的遭利威胁行动者首先入侵了 reviewdog/action-setup@v1 GitHub Action，进而渗透到 tj-actions/changed-files。警告击已Wiz 研究员 Rami McCarthy 表示 ：“tj-actions/eslint-changed-files 使用了 reviewdog/action-setup@v1，链攻而 tj-actions/changed-files 仓库使用个人访问令牌运行了该 Action。遭利reviewdog Action 的入侵时间与 tj-actions PAT 被窃的时间大致相同。”

目前尚不清楚该入侵是源码库如何发生的，但据称入侵发生在 2025 年 3 月 11 日，而 tj-actions/changed-files 的泄露则发生在 3 月 14 日之前的某个时间点 。这意味着被感染的 reviewdog Action 可能被用于向使用它的任何 CI/CD 工作流中插入恶意代码 ，例如在名为 install.sh 的文件中追加 Base64 编码的有效负载。

维护者披露攻击细节及应对措施

tj-actions 的高防服务器维护者披露，此次攻击是由于 GitHub 个人访问令牌（PAT）被窃所致，攻击者利用该令牌在仓库中植入了未授权的代码 。McCarthy 补充道 ：“我们可以确认，攻击者获得了足够的权限，可以将 v1 标签更新为他们在仓库分叉上放置的恶意代码。reviewdog GitHub 组织的贡献者基数相对较大，并且似乎通过自动邀请积极增加贡献者 。模板下载这在无形中扩大了攻击面，使得攻击者可以窃取贡献者的访问权限 ，或恶意获得贡献者访问权限。”

建议与后续防范

鉴于此次事件，CISA 建议受影响的用户和联邦机构在 2025 年 4 月 4 日前更新至 tj-actions/changed-files 的最新版本（46.0.1） ，以防范正在活跃的威胁。但由于根本原因尚未完全解决，未来仍有再次发生类似事件的风险。免费模板除了用更安全的替代方案替换受影响的 Action 外 ，还建议用户审核过去的工作流是否存在可疑活动，轮换所有泄露的机密信息，并将所有 GitHub Actions 固定到特定的提交哈希值 ，而不是版本标签。

源码下载