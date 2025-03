Een populaire GitHub Action genaamd tj-actions/changed-files GitHub Action is door een aanvaller gemanipuleerd. Door code aan te passen wist de aanvaller een malafide script te laten uitvoeren dat is geschreven voor het stelen van CI/CD-secrets. Hiervoor waarschuwt StepSecurity, dat zich specifiek richt op de beveiliging van GitHub Actions. Dit is een tool voor het automatiseren van GitHub-workflows. Zo kan je met een GitHub Action bijvoorbeeld het testen van een applicatie na het toevoegen van nieuwe code automatiseren.

CI/CD-secrets in logbestanden opnemen

StepSecurity meldt dat de aanval specifiek tj-actions/changed-files GitHub Action treft. Een aanvaller is op 14 maart geslaagd in het aanpassen van de code van deze GitHub Action. De malafide code laadt een Python-script, dat ervoor zorgt dat CI/CD-secrets in build logs van GitHub Actions worden opgenomen. Indien deze logs openbaar toegankelijk zijn, bijvoorbeeld via openbare repositories, zijn deze secrets hierdoor vrij toegankelijk via internet.

Het bedrijf meldt in logs van diverse openbare repositories inmiddels daadwerkelijk secrets te hebben aangetroffen. Tegelijkertijd meldt het geen bewijs te hebben dat de gelekte secrets daadwerkelijk door kwaadwillenden zijn buitgemaakt.

Alternatieve GitHub Action beschikbaar

Om te helpen met het mitigeren van de aanval stelt StepSecurity een vervanger voor de getroffen GitHub Action beschikbaar. Het adviseert alle instances van tj-actions/changed-files hiermee te vervangen. Het meldt ook dat het merendeel van de tj-actions/changed-files gecompromitteerd zijn.