La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó el martes una vulnerabilidad vinculada al compromiso de la cadena de suministro de la Acción de GitHub, tj-actions/changed-files, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La falla de alta gravedad, identificada como CVE-2025-30066 (puntaje CVSS: 8.6), implica la violación de la Acción de GitHub para inyectar código malicioso que permite a un atacante remoto acceder a datos confidenciales a través de registros de acciones.
«La acción de GitHub tj-actions/changed-files contiene una vulnerabilidad de código malicioso incrustada que permite a un atacante remoto descubrir secretos leyendo los registros de acciones», dijo CISA en una alerta.
Estos secretos pueden incluir, entre otros, claves de acceso válidas de AWS, tokens de acceso personal (PAT) de GitHub, tokens npm y claves RSA privadas.
La empresa de seguridad en la nube Wiz reveló desde entonces que el ataque puede haber sido un ejemplo de un ataque en cascada a la cadena de suministro, en el que actores de amenazas no identificados primero comprometieron la acción de GitHub reviewdog/action-setup@v1 para infiltrarse en tj-actions/changed-files.
«tj-actions/eslint-changed-files usa reviewdog/action-setup@v1, y el repositorio tj-actions/changed-files ejecuta esta acción tj-actions/eslint-changed-files con un token de acceso personal», declaró Rami McCarthy, investigador de Wiz . «La acción reviewdog se vio comprometida aproximadamente en el mismo periodo que la vulnerabilidad PAT de tj-actions».
Actualmente no está claro cómo ocurrió esto. Pero se dice que la vulneración ocurrió el 11 de marzo de 2025. La vulneración de tj-actions/changed-files ocurrió en algún momento antes del 14 de marzo.
Esto significa que la acción reviewdog infectada podría usarse para insertar código malicioso en cualquier flujo de trabajo de CI/CD que lo utilice, en este caso, una carga útil codificada en Base64 que se adjunta a un archivo llamado install.sh utilizado por el flujo de trabajo.
Al igual que en el caso de tj-actions, la carga útil está diseñada para exponer secretos de los repositorios que ejecutan el flujo de trabajo en los registros. El problema solo afecta a una etiqueta (v1) de reviewdog/action-setup.
Los mantenedores de tj-actions han revelado que el ataque fue el resultado de un token de acceso personal (PAT) de Github comprometido que permitió a los atacantes modificar el repositorio con código no autorizado.
«Podemos decir que el atacante obtuvo suficiente acceso para actualizar la etiqueta v1 al código malicioso que había colocado en una bifurcación del repositorio», dijo McCarthy.
La organización de Github, encargada de la revisión, cuenta con una base de colaboradores relativamente grande y parece estar añadiendo colaboradores activamente mediante invitaciones automatizadas. Esto aumenta la vulnerabilidad a ataques para que el acceso de un colaborador se vea comprometido o se obtenga de forma maliciosa.
Ante la vulnerabilidad, se recomienda a los usuarios y agencias federales afectados que actualicen a la última versión de tj-actions/changed-files (46.0.1) antes del 4 de abril de 2025 para proteger sus redes contra amenazas activas. Sin embargo, dada la causa raíz, existe el riesgo de que vuelva a ocurrir.
Además de reemplazar las acciones afectadas con alternativas más seguras, se recomienda auditar los flujos de trabajo anteriores para detectar actividades sospechosas, rotar los secretos filtrados y fijar todas las acciones de GitHub a hashes de confirmación específicos en lugar de etiquetas de versión.
Fuente y redacción: thehackernews.com
