Siber güvenlik araştırmacıları, sürekli entegrasyon ve sürekli teslimat (CI/CD) iş akışını kullanarak depolardan sızıntı yapmaktan ödün verdiği popüler Github Eylem TJ-Actions/Chanes Files’ın tehlikeye atıldığı bir olaya dikkat çekiyor.
Olay, 23.000’den fazla depoda kullanılan TJ-Actions/Chaned-Files GitHub eylemini içeriyordu. Değiştirilen tüm dosyaları ve dizinleri izlemek ve almak için kullanılır.
Tedarik zinciri uzlaşmasına CVE-2025-30066 CVE tanımlayıcısı atanmıştır (CVSS skoru: 8.6). Olayın 14 Mart 2025’ten bir süre önce meydana geldiği söyleniyor.
“Bu saldırıda, saldırganlar eylemin kodunu değiştirdi ve kötü niyetli taahhütlere başvurmak için birden fazla sürüm etiketini geriye dönük olarak güncelledi.” Dedi. “Github eylemlerinde Github eylemlerinde CI/CD sırları yazdırıyor.”
Bu davranışın net sonucu, iş akışı kütüklerinin kamuya açık erişilebilir olması durumunda, eylem depolarında çalıştırıldığında hassas sırların yetkisiz maruziyetine yol açabilmeleridir.
Buna AWS Access Anahtars, GitHub Kişisel Erişim Jetonları (PATS), NPM jetonları ve özel RSA anahtarları dahildir. Bununla birlikte, sızdırılan sırların saldırgan kontrollü herhangi bir altyapıya sifonlandığına dair bir kanıt yoktur.
Özellikle, kötü niyetli bir şekilde eklenen kod, CI/CD sırlarını koşucu işçi işleminden döken bir GitHub GIST üzerinde barındırılan bir Python komut dosyasını çalıştırmak için tasarlanmıştır. Doğrulanmamış bir kaynak kodu taahhüdünden kaynaklandığı söylenir. Github Gist o zamandan beri devredildi.
Proje koruyucuları, olayın arkasındaki bilinmeyen tehdit aktörlerinin (ler), uzlaşmış depoya ayrıcalıklı erişime sahip bir bot olan @tj-aksiyon-bot tarafından kullanılan bir GitHub kişisel erişim belirtecinden (PAT) tehlikeye atmayı başardığını belirtti.
Keşfin ardından, hesabın şifresi güncellendi, kimlik doğrulama bir passey kullanmak için yükseltildi ve izin düzeyleri, en az ayrıcalık ilkesini izleyecek şekilde güncellendi. Github da tehlikeye atılan Pat’ı iptal etti.
“Etkilenen kişisel erişim belirteci, o zamandan beri iptal edilen bir GitHub eylem sırrı olarak saklandı.” Diyerek şöyle devam etti: “İleride, TJ Actions organizasyonundaki tüm projeler için herhangi bir tekrarlama riskini önlemek için hiçbir PAT kullanılmayacaktı.”
Github eylemini kullanan herkesin en son sürüme (46.0.1) güncellemesi önerilir. Kullanıcılara ayrıca 14 Mart ve 15 Mart arasında yürütülen tüm iş akışlarını incelemeleri ve “Değiştirilen Dosya Bölümü altında beklenmedik çıktı” nı kontrol etmeleri önerilir.
Geliştirme bir kez daha açık kaynaklı yazılımın tedarik zinciri risklerine karşı nasıl hassas kaldığını ve daha sonra aynı anda birkaç aşağı akış müşterisi için ciddi sonuçları olabileceğini vurgulamaktadır.
Bulut güvenlik firması Wiz, “15 Mart 2025 itibariyle, saldırganın mevcut sürüm etiketlerini kötü niyetli kodlarına işaret etmek için değiştirmeyi başardığı için TJ-Actions/değiştirme dosyalarının tüm sürümlerinin etkilendiği bulundu.” Dedi.
Diyerek şöyle devam etti: “TJ-Actions/değiştirme dosyalarının karma pinli bir sürümünü kullanan müşteriler, sömürü süresi sırasında etkilenen bir karma olarak güncellenmedikçe etkilenmeyeceklerdi.”