De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft dinsdag een kwetsbaarheid toegevoegd die verband hield met de supply chain-compromis van de GitHub-actie, TJ-acties/veranderde pijlen, aan de bekende uitgebuite catalogus van Vulnerabilities (KEV).
De hoogwaardigheidsfout, gevolgd als CVE-2025-30066 (CVSS-score: 8.6), omvat de schending van de GitHub-actie om kwaadaardige code te injecteren waarmee een externe aanvaller toegang heeft tot gevoelige gegevens via acties-logboeken.
“De GitHub-actie van TJ-acties/veranderd-pijlen bevat een ingebed kwetsbaarheid voor kwaadwillende code waarmee een externe aanvaller geheimen kan ontdekken door acties-logboeken te lezen,” zei CISA in een waarschuwing.
“Deze geheimen kunnen omvatten, maar zijn niet beperkt tot, geldige AWS Access -toetsen, Github Personal Access Tokens (PATS), NPM -tokens en privé RSA -toetsen.”
Cloud-beveiligingsbedrijf Wiz heeft sindsdien onthuld dat de aanval mogelijk een instantie was van een trapsgewijze aanval van de supply chain, waarbij niet-geïdentificeerde dreigingsactoren eerst de ReviewDog/Action-Setup@V1 GitHub-actie in gevaar brengen om TJ-acties/gewijzigde vee te infiltreren.
“TJ-Actions/Eslint-Changed-Files gebruikt ReviewDog/Action-Setup@V1, en de Repository van TJ-Actions/veranderde Files heeft deze TJ-acties/Eslint-Changed-Files-actie met een persoonlijk toegangstoken,” zei WIZ-onderzoeker Rami McCarthy. “De ReviewDog-actie werd in ongeveer hetzelfde tijdvenster aangetast als de TJ-Actions Pat Compromise.”
Het is momenteel niet duidelijk hoe dit plaatsvond. Maar het compromis zou hebben plaatsgevonden op 11 maart 2025. De schending van TJ-acties/veranderde pijlen vond plaats op een bepaald punt vóór 14 maart.
Dit betekent dat de geïnfecteerde ReviewDog-actie kan worden gebruikt om kwaadaardige code in alle CI/CD-workflows in te voegen met behulp van het, in dit geval een base64-gecodeerde payload die is toegevoegd aan een bestand met de naam Install.sh die door de workflow wordt gebruikt.
Net als in het geval van TJ-acties is de lading ontworpen om geheimen bloot te stellen van repositories die de workflow in logboeken uitvoeren. Het probleem heeft invloed op slechts één tag (v1) van ReviewDog/Action-Setup.
De beheerders van TJ-acties hebben bekendgemaakt dat de aanval het resultaat was van een gecompromitteerde GitHub Personal Access Token (PAT) waarmee de aanvallers de repository kunnen wijzigen met ongeautoriseerde code.
“We kunnen zien dat de aanvaller voldoende toegang heeft gekregen om de V1 -tag bij te werken naar de kwaadaardige code die ze op een vork van de repository hadden geplaatst,” zei McCarthy.
“De ReviewDog GitHub -organisatie heeft een relatief grote bijdrage en lijkt actief bijdragers toe te voegen via geautomatiseerde uitnodigingen. Dit verhoogt het aanvalsoppervlak voor de toegang van een bijdrage om een gecompromitteerde of toegang tot bijdrage te hebben gewonnen om kwaadaardig te zijn gewonnen.”
In het licht van het compromis worden getroffen gebruikers en federale agentschappen geadviseerd om de nieuwste versie van TJ-acties/gewijzigde pijlen (46.0.1) tegen 4 april 2025 bij te werken om hun netwerken te beveiligen tegen actieve bedreigingen. Maar gezien de oorzaak is er een risico op herhaling.
Naast het vervangen van de getroffen acties door veiligere alternatieven, wordt het geadviseerd om eerdere workflows te controleren voor verdachte activiteiten, eventuele gelekte geheimen te roteren en alle GitHub -acties vast te pinnen op specifieke commit hashes in plaats van versietags.
