3. taraf risk yönetimi, yönetişim ve risk yönetimi
GitHub Eylemlerine kötü amaçlı kod eklendikten sonra 23.000’den fazla kod deposu risk altında
Mathew J. Schwartz (Euroinfosec) •
17 Mart 2025
Saldırganlar, yazılım geliştirme ortamı GitHub için yaygın olarak kullanılan bir aracı altüst ederek, potansiyel olarak binlerce özel kod deposundan yazılım geliştirme ortamı sırlarına erişmelerini sağladı. Uzmanlar, çalıntı sırlar API anahtarları ve kimlik doğrulama jetonlarını içerebilir ve potansiyel olarak saldırganların yaygın olarak kullanılan diğer araçlara sızmasına izin verebilir.
Ayrıca bakınız: Ondemand | Üçüncü taraf güvenlik açıklarına yönelik saldırılardan satıcınızın erişimini sağlayın
Git sürüm kontrol sistemine dayanan GitHub, geliştiriciler tarafından kodları depolamak, yönetmek ve paylaşmak ve çok sayıda yazılım geliştirme ve işbirliği ortamının temelini oluşturmak için kullanılır.
Güvenlik araştırmacıları Çarşamba günü, bir saldırganın GitHub’da sürekli entegrasyon ve sürekli dağıtım – aka CI/CD – iş akışlarını otomatikleştirmek için tasarlanmış GitHub eylemleri için bir araca kötü amaçlı kod enjekte ettiğini söyledi.
Kötü amaçlı kod enjekte edildi changed-filesbir dizi popüler tj-actions Pazar blog yazısında bulut güvenlik firması Sweet’in CTO’su Tomer Filiba, “bir çekme isteği veya taahhüdünde hangi dosyaların değiştiğini tespit etmek için tasarlanmış GitHub eylemleri için” dedi. “İş akışlarının, belirli testleri çalıştırma veya dağıtımları tetikleme gibi dosya değişikliklerine dayalı olarak iş akışlarının koşullu olarak yürütülmesini sağlar. Yararlılığı nedeniyle, eylem açık kaynaklı ve işletme depolarında yaygın olarak benimsenir.”
Kötü niyetli etkinlik, bir tedarik zinciri saldırısı olarak tasarlanmış gibi görünmektedir. Cumartesi blog yazısında yazılım tedarik zinciri güvenlik firması Endor Labs’taki Dimitri Stiliadis, “Saldırgan muhtemelen kamu depolarında sır aramıyordu – halka açıklar” dedi. “Muhtemelen bununla yaratılan diğer açık kaynak kütüphaneleri, ikili dosyaları ve eserler için yazılım tedarik zincirinden ödün vermek istiyorlardı. CI boru hattının bir parçası olarak paket veya kap oluşturan herhangi bir kamu deposu etkilenmiş olabilir.”
GitHub Eylemleri için bir yazılım tedarik zinciri güvenlik platformu tasarlayan yazılım firması Step Security, saldırıyı keşfetti ve önce Cuma günü bir uyarı verdi. ” tj-actions/changed-files Github Action, “ilk blog yazısında.
“Saldırganlar, eylemin kodunu değiştirdi ve kötü niyetli taahhüdüne referans vermek için birden fazla sürüm etiketini geriye dönük olarak güncelledi.”
Olayın altında yatan kusur CVE-2025-30066 olarak izlenir.
Eyleme yazılmış kötü niyetli bir işlev enjekte etmeyi içeren saldırı Node.jsCumartesi blog yazısında SYSDIG Tehdit Araştırma Direktörü Michael Clark, “Github Runner’ın kimlik bilgileri için belleğini taramak için tasarlanmış Python Kodunu İndir” diyen talimatları içeren. Github Runner, işleri çalıştırmak için tasarlanmış GitHub ile barındırılan sanal makineleri ifade eder.
Kötü niyetli Python komut dosyası çalıştıktan sonra, “sonuçlar çıktı ve GitHub eylemleri oluşturma günlükleri içinde saklanır” dedi Clark. “Saldırganların sırları çıkarmak için bu günlüklere erişimi olmalı.”
Saldırı ve Yanıt: UTC’de Zaman Çizelgesi
- 12 Mart 00:00: Saldırganlar uzlaştıktan sonra saldırı başlıyor
tj-actions/changed-filesKötü niyetli bir kod aracılığıyla, “koşucu işçi sürecinden” CI/CD sırlarını dökmek için taahhütte bulun, Stepsecurity; - 15 Mart 02:00: üvey Güvenlik İlk olarak “Birden fazla kamu depoları derleme kütüklerinde sır sızdırdı”, ki bu halka açıksa herkesin onları çalabileceği anlamına gelir;
- 15 Mart 12:00: Github kaldırıyor
tj-actions/changed-filesartık kullanılabilir hale getirilmemiştir ve eylemin tüm sürümlerinin V1’den 45.0.7’ye kadar uzatıldığı ve “uzak saldırganların eylem günlüklerini okuyarak sırlar çıkarmasına” izin verebileceği konusunda bir güvenlik uyarısı verir; - 15 Mart 22:00: Github
tj-actions/changed-filesTüm kötü amaçlı kodlarla eylem çıkarıldı.
Genel depoya sahip herhangi bir kuruluş, tehlikeye atılan versiyonunu kullanan herhangi bir kuruluş tj-actions/changed-files – Çarşamba -Cuma günleri – zaman çizelgesinde ayrıntılı olarak açıklandığı gibi, kamu kütükleri aracılığıyla ortaya çıkan sırlarının “yüksek risk altında” olduğunu söyledi.
Özel depolar da sırlar ortaya çıkmış olabilir. “Maruz kalma riski biraz daha düşük olmasına rağmen, etkilenen eylemi kullanan herhangi bir özel depo sırlarını potansiyel olarak tehlikeye atmalıdır” dedi.
“Tüm örnekleri keşfetmek için depolarınızda bir kod araması yapmalısınız. tj-actions/changed-files Eylem, “Sharma dedi.