GitHub Güvenlik Uyarısı: ‘TJ-Actions/Değişmiş Dosyalarda’ bulunan kötü amaçlı kod, 23K+ depolarını etkiler. CI/CD boru hatlarınızı nasıl kontrol edeceğinizi, kaldıracağınızı ve koruyacağınızı öğrenin.
Araştırma firması Step Security’nin CI/CD güvenlik çözümü Harden-Runner kısa bir süre önce 23.000’den fazla depoda kullanılan bir GitHub eylemi olan “TJ-Actions/Değişmiş Dosyalar” içinde bir güvenlik açığı ortaya çıkardı. Güvenlik açığı, uzak saldırganların eylem günlüklerini okuyarak sırları keşfetmelerine olanak tanır.
CVE-2025-30066 olarak tanımlanan güvenlik açığı, tehlikeye atılan eylemin tüm sürümlerini etkiledi. Bilgileriniz için bu eylem, çekme istekleri veya taahhütleri içinde değiştirilen dosyaları tanımlar ve geliştirme ekiplerinin belirli dosya değişikliklerine dayalı olarak test veya dağıtımlar gibi işlemleri tetiklemesine izin verir. Bu yaklaşım, sürekli entegrasyon ve sürekli dağıtım boru hatlarının verimliliğini arttırır
Step Security’nin araştırmasına göre, kötü niyetli kod, CI/CD yürütme sırasında maruz kalan sırları, şifreleri ve kimlik doğrulama jetonlarını çıkarmak için tasarlanmış koşucuya sızmaya odaklanmıştır. Birçok senaryoda, bu hassas detaylar muhtemelen kamuya açık hale getirildi ve potansiyel olarak yetkisiz bireylere kritik sistemlere ve iç hizmetlere erişim sağladı.
Uzlaşmanın zaman çizelgesi, 14 Mart’ta rutin bir bağımlılık güncellemesi olarak gizlenen kötü niyetli bir taahhütün tanıtımı ile başladı. Bunu takiben, tüm aksiyon etiketleri, tehlikeye atılan önemli sayıda depoya yerleştirerek tehlikeye atılan taahhütlere yönlendirildi. Şüpheli faaliyet daha sonra topluluk tarafından işaretlendi, bu da eylemin ortam değişkenlerini ve sırları ortaya çıkardığını gösterdi.
Bu keşiften yaklaşık on iki saat sonra, depo çevrimdışı alındı ve tehlikeye atılan sürümün daha fazla indirilmesini etkili bir şekilde önledi. Yayından kaldırmanın kesin başlatıcısı belirsizliğini korurken, depo, kötü niyetli taahhütün kaldırılmasının ardından 16 Mart’ta yeniden etkinleştirildi. Ancak, bu noktada, tahmini 23.000 depo zaten ortaya çıkmıştı.
Eylemin yaygın kullanımı nedeniyle, etkin GitHub eylemlerine sahip kamu Github depoları önemli bir risk altına alınmıştır. TJ-Actions bakım alanları, bir saldırganın depoya erişimi olan bir bot tarafından kullanılan bir GitHub kişisel erişim belirtecini (PAT) ihlal ettiğini iddia eder.
Github, tehlikeye atılan eylemin kaldırılmasıyla yanıt verdi ve kullanıcıların alternatif çözümler aramasını gerektirdi. Bununla birlikte, bu kaldırma, özellikle önbelleğe alınmamış versiyonlara güvenenler için CI boru hatlarına potansiyel aksamalar getirmiştir.
Endor Labs sadece kullanıcıları için bir blog yazısı yayınladı ve etkiyi azaltma konusunda özel rehberlik sağladı. Endor Labs GitHub uygulamasını kullanan müşterilere, Endor Labs Dashboard’daki “TJ-Actions/Chaned Files” konusunda bağımlılıklarını aramaları tavsiye edildi. CI veya CLI taraması kullananlara, etkilenen depoları tanımlamak için CI taramasını belirli parametrelerle yapılandırmaları talimatı verildi. Ayrıca, şüpheli IP adresleri ve döndürücü aktif sırlar için GitHub günlüklerinin denetlenmesi önerildi.
Saldırganların birincil amacı, analizi hackread.com ile paylaşılan etkilenen CI boru hatları, Dimitri Stiliadis, CTO ve Endor Labs’ın kurucu ortağı tarafından üretilen açık kaynak kütüphanelerini, ikili dosyaları ve eserleri hedefleyen yazılım tedarik zincirini tehlikeye atacaktı.
“Saldırgan muhtemelen kamu depolarında sır aramıyordu – zaten halka açıklar. Muhtemelen bununla oluşturulan diğer açık kaynak kütüphaneleri, ikili dosyalar ve eserler için yazılım tedarik zincirinden ödün vermek istiyorlardı. Bir CI boru hattının bir parçası olarak paketler veya kaplar oluşturan herhangi bir kamu deposu etkilenmiş olabilir. Bu, potansiyel olarak binlerce açık kaynak paketinin tehlikeye girme potansiyeline sahip olduğu anlamına geliyor ”dedi.
Endor laboratuvarlarını kullanmayan kuruluşların da hemen harekete geçmeleri tavsiye edildi. Bu, GitHub eylemleri iş akışlarını tehlikeye atılan eylem için incelemeyi, tüm dallardan kaldırmayı, uzlaşma belirtileri için geçmiş CI iş akışlarını denetlemeyi ve açıkta kalan sırları döndürmeyi içeriyordu.