MTStock Studio 来自 Getty Images
安全研究人员发出警告,针对 GitHub 上名为 tj-actions/changed-files 的 Action(一种自动化工具)发起了一场供应链攻击,该工具被超过 2.3 万个代码库使用。
发现此次安全漏洞的 StepSecurity 表示,周五早些时候检测到了一次恶意代码提交,导致大量机密信息泄露。
该平台在持续集成 / 持续交付流程中应用广泛,有助于实现软件开发的自动化。
StepSecurity 首席执行官Varun Sharma通过电子邮件表示:“这一事件凸显了软件供应链中不断增长的风险,以及进行实时持续集成 / 持续交付安全监测以检测和防范此类行为的必要性。”
这一事件被追踪认定为 CVE – 2025 – 30066,该漏洞使远程攻击者能够通过读取操作日志来获取机密信息。
Wiz 威胁研究团队已经确定了数十个受此事件影响的代码库,其中包括大型机构运营的代码库。
在泄露的持续集成 / 持续交付机密信息中,有有效的亚马逊网络服务(AWS)访问密钥、GitHub 个人访问令牌、私有的 RSA 密钥以及其他机密内容。
信息技术信息共享与分析中心(IT – ISAC)威胁情报总监Jonathan Braley表示,恶意更新已迅速得到解决,但现在各机构将不得不排查哪些软件可能使用了恶意软件包。
Braley通过电子邮件告诉 Cybersecurity Dive:“当对手控制了一个能够推送更新的账户时,情况可能会迅速失控。由于其中一些开源项目可用于成千上万种产品,因此当一个项目被攻破并推送恶意更新时,这是一个重大隐患。”
发表评论
您还未登录,请先登录。
登录