Les chercheurs en cybersécurité attirent l’attention sur un incident au cours duquel les actions TJ-Action / changements populaires de GitHub ont été compromises pour les secrets de fuite des référentiels en utilisant l’intégration continue et le flux de travail de livraison continue (CI / CD).
Le incident impliqué le TJ-Action / Files modifiés GitHub Action, qui est utilisé dans plus de 23 000 référentiels. Il est utilisé pour suivre et récupérer tous les fichiers et répertoires modifiés.
Le compromis de la chaîne d’approvisionnement a été attribué à l’identifiant CVE CVE-2025-30066 (Score CVSS: 8.6). L’incident aurait eu lieu quelque temps avant le 14 mars 2025.
“Dans cette attaque, les attaquants ont modifié le code de l’action et ont mis à jour rétroactivement plusieurs balises de version pour référencer le commit malveillant” dit. “L’action compromise imprime les secrets CI / CD dans les actions GitHub construisent les journaux.”
Le résultat net de ce comportement est que si les journaux de workflow sont accessibles au public, ils pourraient conduire à l’exposition non autorisée de secrets sensibles lorsque l’action est exécutée sur les référentiels.
Cela comprend les clés d’accès AWS, les jetons d’accès personnels GitHub (PATS), les jetons NPM et les clés RSA privées, entre autres. Cela dit, il n’y a aucune preuve que les secrets divulgués ont été siphonnés dans une infrastructure contrôlée par l’attaquant.
Plus précisément, le Code inséré malveillant est conçu pour exécuter un script Python hébergé sur un Github Gist qui vide les secrets CI / CD du processus de travailleur du coureur. On dit qu’il est originaire d’un engagement de code source non vérifié. Le Github Gist a depuis été abattu.
“TJ-Action / Change-Files est utilisé dans les pipelines de développement de logiciels d’une organisation”, a déclaré Dimitri Stiliadis, CTO et co-fondateur d’Endor Labs, dans un communiqué partagé avec The Hacker News. “Après que les développeurs aient écrit et révisé le code, ils publient généralement dans la branche principale de leur référentiel. De là, les« pipelines »prennent-le, le construisent pour la production et le déploient.”
“TJ-Action / Change-Files aide à détecter les modifications de fichiers dans un référentiel. Il vous permet de vérifier quels fichiers ont été ajoutés, modifiés ou supprimés entre les commits, les succursales ou les demandes de traction.”
“Les attaquants modifié le code de l’action et mis à jour rétroactivement plusieurs balises de version pour référencer le commit malveillant. L’action compromise exécute désormais un script python malveillant qui vide les secrets CI / CD, ce qui a un impact sur des milliers de pipelines CI. “
Les responsables du projet ont déclaré que les acteurs de menaces inconnus derrière l’incident avaient réussi à compromettre un jeton d’accès personnel GitHub (PAT) utilisé par @ tj-actions-bot, un bot avec un accès privilégié au référentiel compromis.
Après la découverte, le mot de passe du compte a été mis à jour, l’authentification a été mise à niveau pour utiliser un touke Github a également révoqué le PAT compromis.
“Le jeton d’accès personnel touché a été stocké comme un secret d’action Github qui a depuis été révoqué”, les responsables ajouté. “À l’avenir, aucun PAT ne serait utilisé pour tous les projets de l’organisation des actions TJ pour empêcher tout risque de réapparition.”
Quiconque utilise l’action GitHub est conseillé de mettre à jour dernière version (46.0.1) dès que possible. Il est également conseillé aux utilisateurs d’examiner tous les flux de travail exécutés entre le 14 mars et le 15 mars et de vérifier la «sortie inattendue dans la section des fichiers modifiés».
Ce n’est pas la première fois qu’un problème de sécurité est signalé dans l’action TJ-Action / Files modifiée. En janvier 2024, chercheur en sécurité Adnan Khan révélé Détails d’une faille critique (CVE-2023-49291Score CVSS: 9.8) affectant les actions TJ / Files modifiées et les noms TJ-Action / Branch qui pourraient ouvrir la voie à l’exécution de code arbitraire.
Le développement souligne une fois de plus comment les logiciels open source restent particulièrement sensibles aux risques de la chaîne d’approvisionnement, ce qui pourrait alors avoir de graves conséquences pour plusieurs clients en aval à la fois.
“Depuis le 15 mars 2025, toutes les versions de TJ-Action / Files modifiées se sont révélées affectées, car l’attaquant a réussi à modifier les étiquettes de version existantes pour les faire pointer tous vers leur code malveillant”, Cloud Security Firm Wiz dit.
“Les clients qui utilisaient une version péchée de hachage de TJ-Action / Files modifiés ne seraient pas affectés, à moins qu’ils ne soient mis à jour vers un hachage touché pendant le délai d’exploitation.”




