Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El compromiso de la acción de GitHub pone los secretos de CI/CD en riesgo en más de 23,000 repositorios
  • Tecnología

El compromiso de la acción de GitHub pone los secretos de CI/CD en riesgo en más de 23,000 repositorios

teknomers 18 de Mart de 2025 (Last updated: 18 de Mart de 2025) 5 minutes read
El compromiso de la acción de GitHub pone los secretos


17 de marzo de 2025Ravie LakshmananVulnerabilidad / seguridad en la nube

Los investigadores de ciberseguridad están llamando la atención sobre un incidente en el que la popular acción de GitHub TJ-Actions/cambió de archivos se comprometió a filtrar secretos de repositorios utilizando el flujo de trabajo de integración continua y entrega continua (CI/CD).

El incidente involucró el TJ-ACTIONS/FILES CAMBIADOS GitHub Action, que se usa en más de 23,000 repositorios. Se usa para rastrear y recuperar todos los archivos y directorios cambiados.

Se ha asignado al compromiso de la cadena de suministro al identificador CVE CVE-2025-30066 (Puntuación CVSS: 8.6). Se dice que el incidente tuvo lugar en algún momento antes del 14 de marzo de 2025.

Ciberseguridad

“En este ataque, los atacantes modificaron el código de la acción y actualizaron retroactivamente múltiples etiquetas de versión para hacer referencia a la confirmación maliciosa”, StepSecurity dicho. “La acción comprometida imprime los secretos CI/CD en las acciones de GitHub construye registros”.

El resultado neto de este comportamiento es que si los registros de flujo de trabajo sean accesibles públicamente, podrían conducir a la exposición no autorizada de secretos sensibles cuando la acción se ejecuta en los repositorios.

Esto incluye las claves de acceso de AWS, los tokens de acceso personal GitHub (PAT), los tokens NPM y las claves RSA privadas, entre otros. Dicho esto, no hay evidencia de que los secretos filtrados fueran desviados a cualquier infraestructura controlada por los atacantes.

Específicamente, el código insertado maliciosamente está diseñado para ejecutar un script de Python alojado en un GitHub GIST que arroja los secretos de CI/CD del proceso de trabajador del corredor. Se dice que se originó a partir de una confirmación de código fuente no verificado. La esencia de Github ha sido derribada desde entonces.

“TJ-Actions/Change-Files se utiliza en las tuberías de desarrollo de software de una organización”, dijo Dimitri Stiliadis, CTO y cofundador de Endor Labs, en un comunicado compartido con Hacker News. “Después de que los desarrolladores escriben y revisen el código, generalmente publican en la rama principal de su repositorio. A partir de ahí, los ‘tuberías’ lo toman, lo construyen para la producción y lo implementan”.

“TJ-Actions/Change-Files ayuda a detectar cambios de archivos en un repositorio. Le permite verificar qué archivos se han agregado, modificado o eliminado entre compromisos, ramas o solicitudes de extracción”.

“Los atacantes modificado el código de la acción y actualizadas retroactivamente múltiples etiquetas de versión para hacer referencia a la confirmación maliciosa. La acción comprometida ahora ejecuta un script de Python malicioso que arroja secretos de CI/CD, impactando miles de tuberías de CI “.

Los mantenedores del proyecto han declarado que los actores de amenaza desconocidos detrás del incidente lograron comprometer un token de acceso personal GitHub (PAT) utilizado por @tj-dactils-bot, un bot con acceso privilegiado al repositorio comprometido.

Después del descubrimiento, la contraseña de la cuenta se ha actualizado, la autenticación se ha actualizado para usar una tecla PassKey, y sus niveles de permisos se han actualizado de manera que siga el principio de menor privilegio. Github también ha revocado la patada comprometida.

“El token de acceso personal afectado se almacenó como un secreto de acción de Github que desde entonces ha sido revocado”, los mantenedores agregado. “En el futuro no se utilizaría ninguna PAT para todos los proyectos en la organización TJ-Actions para evitar cualquier riesgo de recurrencia”.

Ciberseguridad

Se recomienda a cualquier persona que use la acción de GitHub que actualice el última versión (46.0.1) Tan pronto como sea posible. También se aconseja a los usuarios que revisen todos los flujos de trabajo ejecutados entre el 14 de marzo y el 15 de marzo y verifiquen la “salida inesperada en la sección de archivos cambiados”.

Esta no es la primera vez que se ha marcado un problema de seguridad en la acción TJ-Actions/Cambied-Files. En enero de 2024, el investigador de seguridad Adnan Khan reveló detalles de un defecto crítico (CVE-2023-49291Puntuación CVSS: 9.8) que afectan TJ-Actions/Cambied-Files y TJ-Actions/Branch-Names que podrían allanar el camino para la ejecución del código arbitrario.

El desarrollo una vez más subraya cómo el software de código abierto sigue siendo particularmente susceptible a los riesgos de la cadena de suministro, lo que podría tener serias consecuencias para varios clientes aguas abajo a la vez.

“A partir del 15 de marzo de 2025, todas las versiones de TJ-Actions/Change-Files se vieron afectadas, ya que el atacante logró modificar las etiquetas de versión existentes para que todos apunten a su código malicioso”, la firma de seguridad en la nube Wiz dicho.

“Los clientes que usaban una versión de hash de TJ-Actions/cambiado no se verían afectados, a menos que se hayan actualizado a un hash impactado durante el plazo de explotación”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: AIVD y MIVD recopilaron más información secreta en 2024 que los años anteriores
Next: Marsopoise muere durante la investigación controvertida, importantes preocupaciones en SOS Dolphin: "Horrible"

Related Stories

La DGA apuesta por Greenerwave y Eutelsat para mejorar la
  • Tecnología

La DGA apuesta por Greenerwave y Eutelsat para mejorar la conexión de las fuerzas armadas francesas desde el espacio

teknomers 5 de Temmuz de 2026
Badge de telepeaje Fulli gratis + 12 meses de suscripción
  • Tecnología

Badge de telepeaje Fulli gratis + 12 meses de suscripción gratis: la opción sin costos antes del verano

teknomers 5 de Temmuz de 2026
Con un -42 %, los Nothing Ear (a) se convierten
  • Tecnología

Con un -42 %, los Nothing Ear (a) se convierten en una de las mejores ofertas de audio de las rebajas

teknomers 4 de Temmuz de 2026

You May Have Missed

  • General

Trump dice que su discurso del 4 de julio sigue en pie tras el severo clima que vacía el National Mall.

teknomers 5 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: ‘Indignante’ y ‘vergonzoso’ – Francia sobrevive a las artimañas de Paraguay

teknomers 5 de Temmuz de 2026
Paraguay-Francia: « Si fue un gran guardián, este hombre ha
  • Deporte

Paraguay-Francia: « Si fue un gran guardián, este hombre ha caído hoy », Philippe Diallo condena las declaraciones de Chilavert

teknomers 5 de Temmuz de 2026
  • Cultura

26 acuarios y 400 nuevas especies: Océanopolis reabre su pabellón tropical en Brest

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.