La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el martes una vulnerabilidad vinculada al compromiso de la cadena de suministro de la acción de GitHub, TJ-Actions/Change-Files, a su catálogo de vulnerabilidades explotadas (KEV) conocidas.
El defecto de alta severidad, rastreado como CVE-2025-30066 (puntaje CVSS: 8.6), implica la violación de la acción de GitHub para inyectar código malicioso que permite a un atacante remoto acceder a datos confidenciales a través de registros de acciones.
“La acción GitHub TJ-Actions/Cambied-Files contiene una vulnerabilidad de código malicioso integrado que permite a un atacante remoto descubrir secretos leyendo registros de acciones”, dijo CISA en una alerta.
“Estos secretos pueden incluir, entre otros, claves de acceso de AWS válidas, tokens de acceso personal GitHub (PATS), tokens NPM y claves RSA privadas”.
Desde entonces, la compañía de seguridad en la nube Wiz ha revelado que el ataque puede haber sido una instancia de un ataque de la cadena de suministro en cascada, con actores de amenaza no identificados que comprometen primero la acción de revisión/acción-setup@v1 github para infiltrarse en tj-acciones/archivos cambiados.
“TJ-Actions/Eslint-Changed-Files utiliza reviseDog/Action-setup@V1, y el repositorio de archivos TJ-Actions/cambiados ejecuta esta acción de archivos TJ-Actions/Eslint-Changed con un token de acceso personal”, dijo el investigador de Wiz Rami McCarthy. “La acción ReviewDog se vio comprometida durante aproximadamente la misma ventana de tiempo que el compromiso de PAT de TJ-Actions”.
Actualmente no está claro cómo tuvo lugar. Pero se dice que el compromiso ocurrió el 11 de marzo de 2025. La violación de las actividades TJ/archivos cambiados ocurrió en algún momento antes del 14 de marzo.
Esto significa que la acción de revisión infectada podría usarse para insertar código malicioso en cualquier flujo de trabajo CI/CD que lo use, en este caso una carga útil codificada por Base64 que se adjunta a un archivo llamado Install.Sh utilizado por el flujo de trabajo.
Al igual que en el caso de TJ-Actions, la carga útil está diseñada para exponer secretos de repositorios que ejecutan el flujo de trabajo en los registros. El problema impacta solo una etiqueta (V1) de ReviewDog/Action-Setup.
Los mantenedores de TJ-Actions han revelado que el ataque fue el resultado de un token de acceso personal GitHub comprometido (PAT) que permitió a los atacantes modificar el repositorio con código no autorizado.
“Podemos decir que el atacante obtuvo suficiente acceso para actualizar la etiqueta V1 al código malicioso que habían colocado en una bifurcación del repositorio”, dijo McCarthy.
“La organización ReviewDog GitHub tiene una base de contribuyentes relativamente grande y parece estar agregando activamente contribuyentes a través de invitaciones automatizadas. Esto aumenta la superficie de ataque para que el acceso de un contribuyente haya sido comprometido o el acceso de los contribuyentes se haya ganado maliciosamente”.
A la luz del compromiso, se aconseja a los usuarios afectados y a las agencias federales que actualicen la última versión de TJ-Actions/Cambied-Files (46.0.1) antes del 4 de abril de 2025, para asegurar sus redes contra las amenazas activas. Pero dada la causa raíz, existe un riesgo de recurrencia.
Además de reemplazar las acciones afectadas con alternativas más seguras, se recomienda auditar flujos de trabajo pasados para actividades sospechosas, gire cualquier secreto filtrado y fije todas las acciones de GitHub a hash de confirmación específicos en lugar de etiquetas de versión.
