Hackers comprometem GitHub Action e acessam credenciais sensíveis

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou na última terça-feira uma vulnerabilidade associada a um ataque à cadeia de suprimentos do GitHub Action ao seu catálogo de vulnerabilidades exploradas ativamente (KEV).

A falha, classificada como CVE-2025-30066 e com pontuação 8.6 no CVSS, permite que hackers injetem código malicioso no GitHub Action tj-actions/changed-files, possibilitando o acesso remoto a dados sensíveis por meio dos logs de ações.

“O tj-actions/changed-files contém uma vulnerabilidade embutida de código malicioso que permite a um hacker acessar segredos ao ler os logs das ações”, alertou a CISA.

Esses segredos podem incluir chaves de acesso da AWS, tokens de acesso pessoal do GitHub (PATs), tokens do npm e chaves privadas RSA, expondo dados críticos de usuários e organizações.

A empresa de segurança em nuvem Wiz revelou que esse ataque pode ser parte de um ataque em cascata à cadeia de suprimentos, onde hackers inicialmente comprometeram a ação reviewdog/action-setup@v1 para, em seguida, atingir o tj-actions/changed-files.

"O tj-actions/eslint-changed-files usa a reviewdog/action-setup@v1, e o repositório tj-actions/changed-files executa essa ação com um Personal Access Token (PAT)", explicou o pesquisador da Wiz, Rami McCarthy. "A ação reviewdog foi comprometida aproximadamente no mesmo período em que o PAT do tj-actions também foi violado."

O método exato da invasão ainda não foi determinado, mas estima-se que tenha ocorrido em 11 de março de 2025, enquanto a invasão do tj-actions/changed-files foi identificada antes de 14 de março.

Esse ataque permitiu que hackers inserissem código malicioso nos workflows de CI/CD que utilizavam essa ação, adicionando um payload codificado em Base64 ao arquivo install.sh. Como resultado, os segredos armazenados nesses repositórios foram expostos nos logs das ações.

Os mantenedores do tj-actions confirmaram que o ataque foi possível devido ao comprometimento de um Personal Access Token (PAT) do GitHub, permitindo que os invasores alterassem o repositório com código não autorizado.

"O invasor conseguiu modificar a tag v1 e substituí-la por código malicioso em um fork do repositório", explicou McCarthy.

Além disso, a organização reviewdog no GitHub possui um grande número de contribuidores e frequentemente adiciona novos membros automaticamente. Esse fator aumenta a superfície de ataque, tornando mais provável que alguma conta tenha sido comprometida ou que um hacker tenha obtido acesso como contribuidor.

Medidas de mitigação

Diante dessa ameaça, a CISA recomenda que usuários e agências federais atualizem para a versão 46.0.1 do tj-actions/changed-files até 4 de abril de 2025, reduzindo os riscos de exploração ativa.

No entanto, como a causa raiz da violação ainda não foi completamente eliminada, o risco de novos ataques permanece alto.

Para mitigar a ameaça, especialistas sugerem:

• Substituir ações afetadas por alternativas mais seguras

• Auditar workflows anteriores para identificar possíveis atividades suspeitas

• Rotacionar credenciais vazadas, como tokens de acesso e chaves de API

• Fixar ações do GitHub em hashes de commits específicos ao invés de versões genéricas, reduzindo o risco de adulteração futura