Исследователи обнаружили инцидент 11 марта, который мог привести к более крупной атаке цепочки поставок.
Scyther5 через Getty Images
Dive Brief:
- Компромисс цепочки действий Github, который угрожал безопасности более чем 23 000 репозиторий, по -видимому, связана с ранее неослащенной атакой против второй собственности на прошлую неделю, в соответствии с безопасными и, в соответствии с безопасными исследованиями, и в соответствии с безопасными исследованиями.
- Ранее раскрытый компромисс tj-actions/измененные файлы, по-видимому, связан с атакой 11 марта против ReviewDog/Action-Setup/V1, которая отслеживается как CVE-2025-30154. Компромисс TJ-Actions/Измененные файлы, отслеживаемые как CVE-2015-30066, состоялся в период с 14 по 15 марта и привел к тому, что секреты просочились, согласно агентству кибербезопасности и инфраструктуры.
- CISA добавил CVE-2025-30066 в свой известный каталог эксплуатируемых уязвимостей и попросил организации сообщить о любой аномальной деятельности или подтвержденных инцидентов в его круглосуточный операционный центр.
Dive Insight:
Инцидент TJ-Actions/Измененные файлы был прослежен до компромисса токена личного доступа, который связан с учетной записью @TJ-Actions-Bot, которая использовалась сопровождающим, говорится в недавнем сообщении в блоге. В результате, злонамеренный сценарий Python начал сбрасывать непрерывную интеграцию/секреты непрерывной доставки из мирового процесса Runner, согласно Step Security.
Исследователи из Endor Labs заявили, что около 218 репозиториев просочились секреты, связанные с компромиссом TJ-Actions/Изменены файлы. Большинство из этих секретов были github_tokens, что обычно истекает после завершения рабочего процесса.
Компромисс ReviewDog/Action-Setup/V1 был обнаружен после того, как исследователь безопасности Аднан Хан опубликовал информацию о X, а исследователи из Wiz поняли, что тег V1 был скомпрометирован. Инцидент с ReviewDog/Action-Setup/V1 длился всего около двух часов и затронул около 1500 репозиториев по сравнению с около 22 часов и 14 000 репозиториев в большей атаке.
GitHub предоставил пользователям руководство определить, были ли они скомпрометированы, и добавить меры для упрочнения для предотвращения такой атаки в будущем.
Организации должны пересмотреть рабочие процессы, выполненные в период с 14 по 15 марта, а также отозвать и повернуть секреты, если какая-либо конфиденциальная информация была раскрыта.
Исследователи из Palo Alto Networks заявили, что для долгосрочной безопасности организации должны внедрить строгие управления доступа на основе трубопроводов.
