tj-actions/changed-files サプライチェーン攻撃について詳しく見ていきましょう。TL;DR (概要)、対策、発生した事象、および詳細情報については、引き続きお読みください。
要約
- その tj-actions/changed-files 現在23,000以上のリポジトリで使用されているGitHub Actionが侵害され、ワークフローログを通じてシークレットが漏洩し、数千のCIパイプラインに影響を与えています。
- すべてのタグ付きバージョンが変更され、タグベースのピン留めが安全でなくなりました。公開リポジトリが最も高いリスクにさらされていますが、プライベートリポジリもその露出を確認する必要があります。
- 直ちに行うべき手順には、影響を受けるワークフローの特定、侵害されたアクションへのすべての参照の削除、シークレットのローテーション、および疑わしいアクティビティのログチェックが含まれます。
Aikidoの対応: 深刻度「critical」(スコア100)のすべての使用状況をフラグ付けする新しいSASTルールをリリースしました。Aikidoは、将来的にこの種のエクスプロイトを防ぐために、GitHub Actionsを自動的にピン留めできます。
まず、何をすべきでしょうか?
の影響を受けているか確認してください j-actions/changed-files サプライチェーン攻撃:
A) ~を検索する tj-actions コードベース内で
B) このGitHubクエリを使用して、組織のリポジトリ内で影響を受けたGitHubアクションへの参照を見つけます([your-org]を組織名に置き換えてください)。
使用を停止してください tj-actions/changed-files できるだけ早く、侵害されたアクションへのすべての参照を削除してください。
影響を受けるパイプラインのシークレットをローテーションし、公開されたトークンの不審な使用がないか、(サードパーティ)サービスのログを確認してください。まずは、公開されているCIランナーログを持つリポジトリに焦点を当ててください。
攻撃について詳しく見ていきましょう: 何が起こったのでしょうか?
~に関するセキュリティインシデント tj-actions/changed-files GitHub Actionは2025年3月中旬に特定されました。攻撃者は悪意のあるコードを導入し、ワークフローログを介してCI/CDシークレットを漏洩させました。Step Securityによって最初に報告されたこのインシデントには、CVE-2025-30066が割り当てられています。
何がどのようにコードがプッシュされたかについては依然として不明確な点がありますが、ほとんどの報告によると、攻撃者はtj-actions-botアカウントにリンクされたGitHubパーソナルアクセストークン(PAT)を侵害し、不正な変更、悪意のあるコードの挿入、およびバージョンタグの操作を可能にしたとされています。
イベントのタイムライン:
2025年3月14日以前: 悪意のあるコードが影響を受けるリポジトリに影響を与え始め、シークレットが公開ログに漏洩する原因となりました。
2025年3月14日: セキュリティ研究者が侵害を特定し、注意喚起を行いました。
2025年3月15日: GitHub Gistでホストされていた悪意のあるスクリプトが削除されました。侵害されたリポジトリは、悪意のある変更を元に戻すために一時的にオフラインにされ、その後、有害なコミットなしで復元されました。
2025年3月15日: リポジトリはオンラインに戻り、攻撃に関する声明が発表されました。また、メンテナーも攻撃についてコメントしています。
差し迫った脅威は対処されましたが、侵害されたアクションのキャッシュされたバージョンは依然としてリスクをもたらす可能性があります。機密性の高い認証情報を保護するためには、プロアクティブな緩和策が必要です。
tj-actions/changed-files攻撃の影響は何ですか?
人気のある~を使用しているリポジトリ tj-actions/changed-files特に公開リポジトリは、パイプラインで使用されるシークレットが漏洩するリスクがあります。これらのシークレットは、脅威アクターの悪意のあるコードによってワークフローログで公開されました。外部へのデータ持ち出しは確認されていませんが、公開リポジトリのログは悪意のあるアクターによってアクセスされる可能性がありました。プライベートリポジトリへの影響は少ないものの、露出を評価し、影響を受けた場合はシークレットをローテーションする必要があります。
パブリックリポジトリ: シークレットを含むワークフローログが公開されるため、リスクが高いです。
プライベートリポジトリ:リスクは低いですが、ワークフローログにアクティブなシークレットが露出していることは依然として重大なリスクです。
キャッシュされたアクションの利用者: 侵害されたアクションをキャッシュしたワークフローは、キャッシュがパージされるまで引き続きリスクにさらされる可能性があります。
Aikidoはどのように支援できますか?
を発表した。 新しいSASTルール あらゆる~にフラグを立てる tj-actions/changed-files ~の使用を 重大な深刻度 (スコア100)。すでにAikidoをご利用の場合、対応済みです。Aikidoアカウントをお持ちでない場合でも、数秒でセットアップを接続してスキャンできます。
この攻撃に加えて、AikidoはGitHub Actionsを自動的にピン留めし、将来的にこのようなエクスプロイトを防ぎます。
そして、当社の独自マルウェア脅威フィードであるAikido Intelは、npm、pypiでのリリース後3分以内にマルウェアを検出し、まもなくGitHub Actionsにも対応する予定です。
お客様のソフトウェアサプライチェーンを容易にし、新たなリスクや攻撃に対する早期警告を提供します。
攻撃の詳細はこちら:
- LatioアナリストのJames Berthotyによる「tj-actions/changed-filesサプライチェーン攻撃の理解と再現」に関する詳細な分析。Jamesはまた、センサーをテストするために自身の環境で攻撃を再現する方法も示しています(注意してください)。
最初にこの攻撃を報告したStep Securityは、「Harden-Runner検出:tj-actions/changed-filesアクションが侵害されました」という調査分析を公開しました。
