Виявлено компрометацію GitHub Action tj-actions/changed-files, що використовується у понад 23,000 репозиторіях. Зловмисники ввели шкідливий код, який викриває секрети CI/CD через логи робочих процесів (CVE-2025-30066).

Як це працює?

-Атакуючий скомпрометував токен доступу (PAT) бота tj-actions, додавши шкідливий код у commit (0e58ed8).
-Код витягує секрети з пам’яті CI/CD runner’а, кодуючи їх у base64 і виводячи в логи.
-Усі теги версій до v45.0.7 змінено на шкідливий код, що робить їх небезпечними.
-Публічні репозиторії під найбільшим ризиком через доступність логів.

Що загрожує? Витік секретів (токени, ключі AWS, NPM тощо), що може призвести до зламу інфраструктури.

Як захиститися?

-Перевірте репозиторії на використання tj-actions/changed-files (GitHub query: org:[your-org] tj-actions/changed-files).
-Негайно змініть усі секрети в уражених репозиторіях, особливо публічних.
-Видаліть посилання на скомпрометовану дію та очистіть кеш.
-Використовуйте інструменти, як-от Aikido SAST або StepSecurity Harden-Runner, для виявлення атак.

Ця атака підкреслює вразливість CI/CD-ланцюгів. Захищайте свої проєкти!