美國網絡安全和基礎設施安全局（CISA）于本周二將一項與 GitHub Action tj-actions/changed-files 供應鏈攻擊相關的漏洞添加至其已知可利用漏洞（KEV）目錄中。

高危漏洞允許攻擊者竊取敏感數據

該高危漏洞被標記為 CVE-2025-30066（CVSS 評分：8.6），涉及 GitHub Action 的入侵，攻擊者通過注入惡意代碼可遠程訪問敏感數據。CISA在警報中表示：“tj-actions/changed-files GitHub Action 存在嵌入式惡意代碼漏洞，允許遠程攻擊者通過讀取操作日志來發現機密信息。這些機密信息可能包括但不限于有效的 AWS 訪問密鑰、GitHub 個人訪問令牌（PAT）、npm 令牌以及私有的 RSA 密鑰。”

供應鏈攻擊鏈的復雜過程

云安全公司 Wiz 隨后透露，此次攻擊可能是一次連鎖供應鏈攻擊的實例，不明身份的威脅行動者首先入侵了 reviewdog/action-setup@v1 GitHub Action，進而滲透到 tj-actions/changed-files。Wiz 研究員 Rami McCarthy 表示：“tj-actions/eslint-changed-files 使用了 reviewdog/action-setup@v1，而 tj-actions/changed-files 倉庫使用個人訪問令牌運行了該 Action。reviewdog Action 的入侵時間與 tj-actions PAT 被竊的時間大致相同。”

目前尚不清楚該入侵是如何發生的，但據稱入侵發生在 2025 年 3 月 11 日，而 tj-actions/changed-files 的泄露則發生在 3 月 14 日之前的某個時間點。這意味著被感染的 reviewdog Action 可能被用于向使用它的任何 CI/CD 工作流中插入惡意代碼，例如在名為 install.sh 的文件中追加 Base64 編碼的有效負載。

維護者披露攻擊細節及應對措施

tj-actions 的維護者披露，此次攻擊是由于 GitHub 個人訪問令牌（PAT）被竊所致，攻擊者利用該令牌在倉庫中植入了未授權的代碼。McCarthy 補充道：“我們可以確認，攻擊者獲得了足夠的權限，可以將 v1 標簽更新為他們在倉庫分叉上放置的惡意代碼。reviewdog GitHub 組織的貢獻者基數相對較大，并且似乎通過自動邀請積極增加貢獻者。這在無形中擴大了攻擊面，使得攻擊者可以竊取貢獻者的訪問權限，或惡意獲得貢獻者訪問權限。”

建議與后續防范

鑒于此次事件，CISA 建議受影響的用戶和聯邦機構在 2025 年 4 月 4 日前更新至 tj-actions/changed-files 的最新版本（46.0.1），以防范正在活躍的威脅。但由于根本原因尚未完全解決，未來仍有再次發生類似事件的風險。除了用更安全的替代方案替換受影響的 Action 外，還建議用戶審核過去的工作流是否存在可疑活動，輪換所有泄露的機密信息，并將所有 GitHub Actions 固定到特定的提交哈希值，而不是版本標簽。