Los investigadores de ciberseguridad están llamando la atención sobre un incidente en el que la popular acción de GitHub TJ-Actions/cambió de archivos se comprometió a filtrar secretos de repositorios utilizando el flujo de trabajo de integración continua y entrega continua (CI/CD).
El incidente involucró la acción GitHub TJ-Actions/Cambied-Files, que se utiliza en más de 23,000 repositorios. Se usa para rastrear y recuperar todos los archivos y directorios cambiados.
Al compromiso de la cadena de suministro se le ha asignado al identificador CVE CVE-2025-30066 (puntaje CVSS: 8.6). Se dice que el incidente tuvo lugar en algún momento antes del 14 de marzo de 2025.
«En este ataque, los atacantes modificaron el código de la acción y actualizaron retroactivamente múltiples etiquetas de versión para hacer referencia a la confirmación maliciosa», dijo StepSecurity. «La acción comprometida imprime los secretos CI/CD en las acciones de GitHub construye registros».
El resultado neto de este comportamiento es que si los registros de flujo de trabajo sean accesibles públicamente, podrían conducir a la exposición no autorizada de secretos sensibles cuando la acción se ejecuta en los repositorios.
Esto incluye las claves de acceso de AWS, los tokens de acceso personal GitHub (PAT), los tokens NPM y las claves RSA privadas, entre otros. Dicho esto, no hay evidencia de que los secretos filtrados fueran desviados a cualquier infraestructura controlada por los atacantes.
Específicamente, el código insertado maliciosamente está diseñado para ejecutar un script de Python alojado en un GitHub GIST que arroja los secretos de CI/CD del proceso de trabajador del corredor. Se dice que se originó a partir de una confirmación de código fuente no verificado. La esencia de Github ha sido derribada desde entonces.
«TJ-Actions/Change-Files se utiliza en las tuberías de desarrollo de software de una organización», dijo Dimitri Stiliadis, CTO y cofundador de Endor Labs, en un comunicado compartido con Hacker News. «Después de que los desarrolladores escriben y revisen el código, generalmente publican en la rama principal de su repositorio. A partir de ahí, los ‘tuberías’ lo toman, lo construyen para la producción y lo implementan».
«TJ-Actions/Change-Files ayuda a detectar cambios de archivos en un repositorio. Le permite verificar qué archivos se han agregado, modificado o eliminado entre compromisos, ramas o solicitudes de extracción».
«Los atacantes modificaron el código de la acción y actualizaron retroactivamente múltiples etiquetas de versión para hacer referencia a la confirmación maliciosa. La acción comprometida ahora ejecuta un script de Python malicioso que descarga secretos de CI/CD, lo que impacta miles de tuberías de CI».
Los mantenedores del proyecto han declarado que los actores de amenaza desconocidos detrás del incidente lograron comprometer un token de acceso personal GitHub (PAT) utilizado por @tj-dactils-bot, un bot con acceso privilegiado al repositorio comprometido.
Después del descubrimiento, la contraseña de la cuenta se ha actualizado, la autenticación se ha actualizado para usar una tecla PassKey, y sus niveles de permisos se han actualizado de manera que siga el principio de menor privilegio. Github también ha revocado la patada comprometida.
«El token de acceso personal afectado se almacenó como un secreto de acción de GitHub que desde entonces ha sido revocado», agregaron los mantenedores. «En el futuro no se utilizaría ninguna PAT para todos los proyectos en la organización TJ-Actions para evitar cualquier riesgo de recurrencia».
Se recomienda a cualquier persona que use la acción GitHub que actualice la última versión (46.0.1) lo antes posible. También se aconseja a los usuarios que revisen todos los flujos de trabajo ejecutados entre el 14 de marzo y el 15 de marzo y verifiquen la «salida inesperada en la sección de archivos cambiados».
Esta no es la primera vez que se ha marcado un problema de seguridad en la acción TJ-Actions/Cambied-Files. En enero de 2024, el investigador de seguridad Adnan Khan reveló detalles de una falla crítica (CVE-2023-49291, puntaje CVSS: 9.8) que afecta a TJ-Actions/cambió de archivos y TJ-Actions/Branch-Names que podrían allanar el camino para la ejecución del código arbitrario.
El desarrollo una vez más subraya cómo el software de código abierto sigue siendo particularmente susceptible a los riesgos de la cadena de suministro, lo que podría tener serias consecuencias para varios clientes aguas abajo a la vez.
«A partir del 15 de marzo de 2025, se encontró que todas las versiones de TJ-Actions/Cambied-Files estaban afectadas, ya que el atacante logró modificar las etiquetas de versión existentes para que todos apunten a su código malicioso», dijo la firma de seguridad en la nube Wiz.
«Los clientes que usaban una versión de hash de TJ-Actions/cambiado no se verían afectados, a menos que se hayan actualizado a un hash impactado durante el plazo de explotación».