Salı günü ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) eklemek GitHub eyleminin tedarik zinciri uzlaşmasıyla bağlantılı bir güvenlik açığı, TJ-Actions/değiştirilmiş dosyalar, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna.
Yüksek şiddetli kusur, CVE-2025-30066 (CVSS puanı: 8.6), uzaktan saldırganın eylem günlükleri aracılığıyla hassas verilere erişmesini sağlayan kötü amaçlı kod enjekte etmek için GitHub eyleminin ihlalini içerir.
“TJ-Actions/Değiştirilmiş Dosya GitHub eylemi, uzak bir saldırganın eylem günlüklerini okuyarak sırları keşfetmesine izin veren gömülü bir kötü amaçlı kod güvenlik açığı içerir.” CISA söz konusu bir uyarıda.
“Bu sırlar, geçerli AWS erişim anahtarları, Github Kişisel Erişim Jetonları (PAT’ler), NPM jetonları ve özel RSA anahtarlarını içerebilir, ancak bunlarla sınırlı değildir.”
Bulut güvenlik şirketi Wiz, o zamandan beri saldırının basamaklı bir tedarik zinciri saldırısının bir örneği olabileceğini, kimliği belirsiz tehdit aktörlerinin ilk olarak TJ-eylemleri/değiştirilmiş dosyalara sızmak için incelemeDog/Action-setup@V1 GitHub eylemini tehlikeye attığını ortaya koydu.
Wiz araştırmacısı Rami McCarthy, “TJ-acces/Eslint-Changed Files, incelemeDog/Action-setup@v1 kullanıyor ve TJ-Actions/Action-setup@v1 kullanıyor ve TJ-Actions/Chaned-Files deposu, bu TJ-Actions/ESlint-Downed Files eylemini kişisel erişim tokeniyle çalıştırıyor.” söz konusu. Diyerek şöyle devam etti: “Gözden geçirme işlemi, TJ-Actions Pat uzlaşmasıyla aynı zaman penceresi sırasında tehlikeye atıldı.”
Şu anda bunun nasıl gerçekleştiği net değil. Ancak uzlaşmanın 11 Mart 2025’te gerçekleştiği söyleniyor.
Bu, enfekte incelenen inceleme eyleminin, onu kullanarak herhangi bir CI/CD iş akışlarına kötü amaçlı kod eklemek için kullanılabileceği anlamına gelir, bu durumda iş akışı tarafından kullanılan install.sh adlı bir dosyaya eklenen baz64 kodlu bir yük.
TJ eylemlerinde olduğu gibi, yük, iş akışını günlüklerde çalıştıran depolardan gelen sırları ortaya çıkarmak için tasarlanmıştır. Sorun, ReviewDog/Action-Setup’ın yalnızca bir etiketini (V1) etkiler.
TJ eylemlerinin bakımını, saldırının saldırganların depoyu yetkisiz kodla değiştirmesini sağlayan uzlaşmış bir GitHub kişisel erişim belirtecinin (PAT) sonucu olduğunu açıkladı.
McCarthy, “Saldırganın V1 etiketini deponun çatalına yerleştirdikleri kötü amaçlı koda güncellemek için yeterli erişim kazandığını söyleyebiliriz.” Dedi.
Diyerek şöyle devam etti: “İnceleme Github organizasyonu nispeten büyük bir katkıda bulunan tabanına sahiptir ve otomatik davetler yoluyla aktif olarak katkıda bulunanlar ekliyor gibi görünmektedir. Bu, bir katkıda bulunmanın tehlikeye girmesi veya katkıda bulunduğu erişimin kötü niyetli bir şekilde kazanılması için saldırı yüzeyini arttırır.”
Uzlaşma ışığında, etkilenen kullanıcıların ve federal ajansların, ağlarını aktif tehditlere karşı güvence altına almak için 4 Nisan 2025 yılına kadar TJ-Actions/Değiştirilmiş Dosyaların (46.0.1) en son sürümüne güncellemeleri tavsiye edilir. Ancak temel neden göz önüne alındığında, yeniden oluşma riski vardır.
Etkilenen eylemleri daha güvenli alternatiflerle değiştirmenin yanı sıra, geçmiş iş akışlarını şüpheli etkinlikler için denetlemeniz, sızdırılmış sırları döndürmeniz ve tüm Github eylemlerini sürüm etiketleri yerine belirli taahhüt karmalarına sabitlemeniz önerilir.
