La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el martes una vulnerabilidad vinculada al compromiso de la sujeción de suministro de la bono de GitHub, TJ-Actions/Change-Files, a su catálogo de vulnerabilidades explotadas (KEV) conocidas.
El defecto de ingreso severidad, rastreado como CVE-2025-30066 (puntaje CVSS: 8.6), implica la violación de la bono de GitHub para inyectar código ladino que permite a un atacante remoto obtener a datos confidenciales a través de registros de acciones.
«La bono GitHub TJ-Actions/Cambied-Files contiene una vulnerabilidad de código ladino integrado que permite a un atacante remoto descubrir secretos leyendo registros de acciones», dijo CISA en una alerta.
«Estos secretos pueden incluir, entre otros, claves de entrada de AWS válidas, tokens de entrada personal GitHub (PATS), tokens NPM y claves RSA privadas».
Desde entonces, la compañía de seguridad en la cúmulo Wiz ha revelado que el ataque puede acontecer sido una instancia de un ataque de la sujeción de suministro en cascada, con actores de amenaza no identificados que comprometen primero la bono de revisión/acción-setup@v1 github para infiltrarse en tj-acciones/archivos cambiados.
«TJ-Actions/Eslint-Changed-Files utiliza reviseDog/Action-setup@V1, y el repositorio de archivos TJ-Actions/cambiados ejecuta esta bono de archivos TJ-Actions/Eslint-Changed con un token de entrada personal», dijo el investigador de Wiz Rami McCarthy. «La bono ReviewDog se vio comprometida durante aproximadamente la misma ventana de tiempo que el compromiso de PAT de TJ-Actions».
Actualmente no está claro cómo tuvo oportunidad. Pero se dice que el compromiso ocurrió el 11 de marzo de 2025. La violación de las actividades TJ/archivos cambiados ocurrió en algún momento ayer del 14 de marzo.
Esto significa que la bono de revisión infectada podría estar de moda para insertar código ladino en cualquier flujo de trabajo CI/CD que lo use, en este caso una carga útil codificada por Base64 que se adjunta a un archivo llamado Install.Sh utilizado por el flujo de trabajo.
Al igual que en el caso de TJ-Actions, la carga útil está diseñada para exponer secretos de repositorios que ejecutan el flujo de trabajo en los registros. El problema impacta solo una formalidad (V1) de ReviewDog/Action-Setup.
Los mantenedores de TJ-Actions han revelado que el ataque fue el resultado de un token de entrada personal GitHub comprometido (PAT) que permitió a los atacantes modificar el repositorio con código no calificado.
«Podemos afirmar que el atacante obtuvo suficiente entrada para desempolvar la formalidad V1 al código ladino que habían colocado en una separación del repositorio», dijo McCarthy.
«La estructura ReviewDog GitHub tiene una colchoneta de contribuyentes relativamente ancho y parece estar agregando activamente contribuyentes a través de invitaciones automatizadas. Esto aumenta la superficie de ataque para que el entrada de un contribuyente haya sido comprometido o el entrada de los contribuyentes se haya reses maliciosamente».
A la luz del compromiso, se aconseja a los usuarios afectados y a las agencias federales que actualicen la última traducción de TJ-Actions/Cambied-Files (46.0.1) ayer del 4 de abril de 2025, para consolidar sus redes contra las amenazas activas. Pero dada la causa raíz, existe un aventura de recurrencia.
Por otra parte de reemplazar las acciones afectadas con alternativas más seguras, se recomienda auditar flujos de trabajo pasados para actividades sospechosas, gire cualquier secreto filtrado y fije todas las acciones de GitHub a hash de confirmación específicos en oportunidad de etiquetas de traducción.
