一次GitHub Action供应链攻击暴露了218个仓库中的机密,影响了使用受损的’tj-actions/changed-files’ Action的23,000个项目中的一小部分。尽管数量有限,但由于一些受影响的仓库很受欢迎,安全隐患非常严重,可能导致进一步的供应链攻击。敦促仓库所有者立即轮换其密钥以防止被利用。来源
该攻击发生在2025年3月14日,当时攻击者添加了一个恶意提交,将Runner Worker进程中的CI/CD密钥转储到仓库中。公开可访问的工作流日志使任何人都可以读取这些密钥。调查显示,该攻击可能源于对’reviewdog/action-setup@v1′ GitHub Action的另一次供应链攻击,攻击者利用了一个个人访问令牌(PAT),该令牌被用来修改’tj-actions/changed-files’。
监控事件的Endor Labs报告称,在暴露窗口期间,4,072个组织的5,416个仓库引用了受影响的GitHub Action。尽管只有218个仓库确认泄露了机密,但其中一些仓库具有很高的用户参与度,部分仓库拥有超过350,000个star和63,000个fork,这可能会对广泛的用户群产生不利影响。