TL;DR: tj-actions/changed-files サプライチェーン・アタック

tj-actions/changed-filesのサプライチェーン攻撃について説明しよう。 TL;DR、あなたがすべきこと、何が起こったのか、さらに詳しい情報はこちらをお読みください。

TL;DR

- について tj-actions/changed-files 現在23,000以上のリポジトリで使用されているGitHub Actionが侵害され、ワークフローのログを通じて機密が流出し、数千のCIパイプラインに影響を及ぼしている。

- タグ付けされたバージョンはすべて変更されており、タグベースのピン留めは安全ではありません。公開リポジトリが最もリスクが高いが、非公開リポジトリもその公開を確認すべきである。

- 早急な対策としては、影響を受けるワークフローを特定すること、侵害されたアクションへのすべての参照を削除すること、シークレットをローテーションすること、不審なアクティビティがないかログをチェックすることなどが挙げられる。

Aikido回答 重大度(スコア100)を持つ利用方法にフラグを立てる新しいSASTルールをリリースしました。Aikido 、将来的にこの種のエクスプロイトを防ぐために、あなたのGithubアクションを自動的に固定することができます。

まず、どうすればいいのか？

の影響を受けるかどうかを確認する。 j-actions/changed-files サプライチェーン攻撃

A) 検索 tj-アクション コードベースの

B)このGithubクエリを使って、あなたの組織のリポジトリから、影響を受けるGitHubアクションへの参照を探します（[your-org]は組織名に置き換えてください）。

使用中止 tj-actions/changed-files できるだけ早く、侵害されたアクションへのすべての参照を削除してください。

影響を受けるパイプラインのシークレットをローテーションし、公開されたトークンが不審に使用されていないか、（サードパーティの）サービスのログをチェックしてください。

攻撃に入ろう：何が起こったのか？

を含むセキュリティ・インシデントが発生した。 tj-actions/changed-files GitHub Actionは2025年3月中旬に確認された。攻撃者は、ワークフローのログを介してCI/CDの秘密を暴露する悪意のあるコードを導入しました。Step Securityによって最初に報告されたこのインシデントには、CVE-2025-30066が割り当てられています。

何が起きたのか、どのようにコードがプッシュされたのかについてはまだ明確になっていないが、多くの報告によると、攻撃者はtj-actions-botアカウントにリンクされたGitHub Personal Access Token (PAT)を侵害した。

事件のタイムライン

2025年3月14日以前：悪意のあるコードが影響を受けたリポジトリに影響を与え始め、公開ログに秘密が漏れる。

2025年3月14日：セキュリティ研究者が侵害を特定し、注意を喚起。

2025年3月15日GitHub Gistにホストされていた悪意のあるスクリプトは削除されました。侵害されたリポジトリは、悪意のある変更を元に戻すために一時的にオフラインにされ、その後、有害なコミットがない状態で復元されました。

2025年3月15日： 攻撃に関する声明とともにレポがオンラインに戻りました。メンテナも攻撃についてコメントしています。

直接的な脅威は対処されましたが、侵害されたアクションのキャッシュバージョンは依然としてリスクをもたらす可能性があります。機密性の高いクレデンシャルを保護するためには、予防的な緩和策が必要です。

tj-actions/changed-files攻撃の影響は？

一般的なリポジトリ tj-actions/changed-files特に公開されているものは、パイプラインで使用されている秘密が漏れる危険性がある。これらの秘密は、脅威行為者の悪意あるコードによってワークフローのログから暴露された。外部へのデータ流出は確認されていませんが、公開リポジトリのログは悪意のある行為者によってアクセスされる可能性があります。非公開リポジトリは影響を受けにくいが、それでも暴露を評価し、影響を受けた場合は秘密をローテーションする必要がある。

公開リポジトリ：秘密を含むワークフローログが公開されるため、リスクが高い。

プライベート・リポジトリ：リスクは低いが、ワークフローのログにアクティブな秘密が公開されることは重大なリスクである。

キャッシュされたアクションのユーザー：侵害されたアクションをキャッシュしたワークフローは、キャッシュが消去されるまで危険にさらされ続ける可能性があります。

Aikido どのように役立つのか？

を発表した。 SAST新ルール のフラグを立てる。 tj-actions/changed-files との併用 重要度 (100点）。すでにAikido使用している場合は、カバーされています。Aikido アカウントを持っていない場合は、数秒で接続し、セットアップをスキャンすることができます。

この攻撃以外にも、Aikido Githubのアクションを自動的にピン留めし、将来この種の悪用を防ぐ。

また、当社独自のマルウェア脅威フィードであるAikido Intelは、npm、pypiでのリリース後3分以内にマルウェアを検出します。

ソフトウェア・サプライチェーンを容易にし、新たなリスクや攻撃をいち早く警告します。

攻撃についてもっと知る

- ラティオのアナリスト、James Berthotyによる「tj-actions/changed-filesサプライチェーン攻撃の理解と再作成」についての解説です。Jamesはまた、あなたのセンサーをテストするために、あなた自身の環境で攻撃を再現する方法も紹介しています（注意してください）。

- 最初に攻撃を報告したStep Securityは、調査分析「Harden-Runner detection: tj-actions/changed-files action is compromised」を発表した。

- CVE-2023-51664を見る