GitHub Actions elleni beszivárgásos támadás

Támadók módosítottak egy széles körben használt GitHub Actions eszközt, amivel potenciálisan hozzáférhettek több ezer privát kódtár bizalmas adataihoz, például API-kulcsokhoz és hitelesítési tokenekhez. Ezek az adatok lehetőséget adhatnak további fejlesztői eszközök kompromittálására, ami komoly biztonsági kockázatot jelent az ellátási láncban. Az érintett eszköz a “tj-actions/changed-files” nevű GitHub Action, amely a fájlmódosításokat követi nyomon és feltételes munkafolyamatok végrehajtására szolgál.

A támadás március 12-én kezdődött, amikor a támadók rosszindulatú kóddal módosították az eszközt. A káros kód egy Node.js-alapú funkciót tartalmazott, amely egy Python-szkriptet töltött le. Ez a szkript kiolvasta a GitHub Runner memóriájában tárolt hitelesítési adatokat, majd azokat a GitHub Actions naplófájljába mentette. Március 15-én a StepSecurity azonosította a problémát és figyelmeztetést adott ki. Ezt követően a GitHub eltávolította a fertőzött verziókat, majd az eszköz tisztított változatát visszaállította.

A CVE-2025-30066 biztonsági rés minden olyan szervezetet érinthet, amely nyilvános vagy privát adattárakban használta az érintett GitHub Actiont. A nyilvános adattárak esetében a hitelesítési adatok egyértelműen kiszivároghattak, míg a privát adattáraknál a kockázat valamivel alacsonyabb, de nem elhanyagolható. Az érintett szervezeteknek haladéktalanul ellenőrizniük kell az alkalmazott verziókat, és minden potenciálisan kiszivárgott hitelesítési adatot azonnal frissíteniük kell.

(forrás)

(forrás)

(forrás)

(forrás)

(forrás)