Popüler Github eylemini içeren kritik bir güvenlik olayı ortaya çıkarıldı tj-actions/changed-files23.000’den fazla depoda kullanılan.
Saldırı, eylem kodunun kötü niyetli bir modifikasyonunu içerir ve GitHub eylemleri oluşturma günlüklerinde CI/CD sırlarının maruz kalmasına yol açar.
Bu güvenlik açığı, ağ etkinliklerini izleyerek ve GitHub barındıran ve kendi kendine barındırılan koşuculara erişimi kontrol ederek CI/CD iş akışlarını güvence altına almak için tasarlanmış bir araç olan Stepsecurity’nin Harden-Runner tarafından tespit edildi.
Geri ihlal edilen eylem, hassas verileri GitHub Actions Runner’ın hafızasından atan kötü niyetli bir Python komut dosyası yürütür.
İstismar, özellikle koşucu işçi sürecinin hafızasını okuyarak sırlar çıkarmaya çalıştığı Linux ortamlarını hedefler.
Kötü niyetli kod, hepsi aynı kötü amaçlı taahhüt karmaşıkına işaret eden birden fazla sürüm etiketinin geriye dönük bir güncellemesiyle tanıtıldı.
Bu sofistike saldırı stratejisi, saldırganların hemen şüphe yaratmadan eylemin çoğu versiyonunu tehlikeye atmasına izin verdi.
Olay Zaman Çizelgesi
Olay 14 Mart 2025’te başladı ve Step Security’nin anomali algılama yetenekleri ile hızla tanımlandı.
15 Mart’a kadar Github, iş akışlarında daha fazla kullanımı önleyerek tehlikeye atılan eylemi kaldırmıştı.
Ancak, depo daha sonra kötü amaçlı kodu hariç tutmak için güncellenen tüm sürümlerle geri yüklendi.
Etkiyi azaltmak için, Step-Gecerity, kullanıcıların tüm örneklerin değiştirilmesini önererek, tehlikeye atılan eylemin güvenli bir şekilde değiştirilmesi yayınladı. tj-actions/changed-files ile step-security/changed-files.
Cevap
Saldırı, açık kaynaklı yazılımlardaki tedarik zinciri güvenlik açıklarıyla ilişkili riskleri vurgulamaktadır.
Sızan sırların uzaktan ağlara verildiğine dair bir kanıt olmasa da, kamu depoları, yapı kütükleri herkes tarafından erişilebilir olduğu için özellikle savunmasızdır.
Kullanıcıların sızdırılmış sır belirtileri için son iş akışı günlüklerini gözden geçirmeleri ve bulunursa hemen bu sırları döndürmeleri tavsiye edilir.
Bu olayı izlemek için resmi bir CVE (CVE-2025-30066) yayınlanmış ve CI/CD boru hatlarında proaktif güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.