Les chercheurs disent que l’outil compromis dans l’environnement GitHub CI / CD a volé des informations d’identification; Les dirigeants de l’INFOSEC doivent agir immédiatement.
Les équipes de développement d’applications qui utilisent un utilitaire populaire dans la plate-forme continue d’intégration continue et de livraison / déploiement continu (CI / CD) doivent nettoyer leur code car l’outil a été compromis la semaine dernière pour voler des informations d’identification.
Cet avertissement est venu après que les chercheurs de Stepscurity ont révélé que toutes les versions de l’utilitaire TJ-Action / Files modifiées jusqu’à 45,0,7 avaient été modifiées par un acteur de menace le 14 mars. Normalement, cet outil aide les développeurs à détecter les modifications de fichiers dans un référentiel, mais un conseiller Github dit que le changement exécute un script de python malveillant qui permet de lire des actions de lisant des secrets tels qu’API Keys, un accès, un accès pour les mots et des mots à distance.
Le compromis a été désigné CVE-2025-30066.
Selon un rapport d’Endor Labs, le service public est utilisé dans plus de 23 000 référentiels GitHub. L’action compromise pourrait avoir un impact sur des milliers de pipelines CI, selon le rapport.
Github a tiré l’accès à l’outil d’ici le 16 mars et l’a remplacé par une version corrigée.
Les secrets du pipeline CI / CD pourraient être compromis
«Tout référentiel public qui crée des packages ou des conteneurs dans le cadre d’un pipeline CI aurait pu être affecté», prévient Endor Labs. «Cela signifie que des milliers de packages open source ont le potentiel d’avoir été compromis.»
L’attaquant ne recherchait probablement pas des secrets dans les référentiels publics, explique Endor, car ils sont déjà publics. «Ils cherchaient probablement à compromettre la chaîne d’approvisionnement des logiciels pour d’autres bibliothèques, binaires et artefacts open source créés avec cela.»
L’avertissement s’applique aux équipes de développement qui ont des référentiels privés et publics, a ajouté Endor. «Si ces référentiels partagent des secrets de pipeline CI / CD pour les registres d’artefacts ou de conteneurs, ces registres peuvent être potentiellement compromis.
«Nous n’avons aucune preuve qu’une bibliothèque ou des conteneurs open source en aval a été touché à ce moment. Mais nous exhortons les agents open source et la communauté de la sécurité à se joindre à nous pour surveiller de près les compromis secondaires potentiels. »
Dans une interview de lundi, le CTO des laboratoires d’Endor, Dimitri Stiliadis, a déclaré que le risque de dommages est des applications qui ont utilisé l’outil des actions TJ. Mais, a-t-il ajouté, les pirates auraient pu utiliser des informations d’identification volées dans Docker Hub ou d’autres référentiels open source pour accéder et insérer des logiciels malveillants dans d’autres packages logiciels. « Nous pourrions avoir des forfaits infectés par des logiciels malveillants que personne ne va connaître », a-t-il déclaré. «Cela pourrait être des milliers ou des centaines de milliers ou même des millions… nous ne savons vraiment pas quels sont les vrais dégâts en ce moment. Nous le saurons dans les prochains jours.
Des chercheurs de Wiz Threat Research ont déclaré dans un blog qu’ils avaient identifié «des dizaines» de référentiels publics touchés avec des secrets sensibles exposés et contactent les parties touchées.
Recommandations GitHub
Pour aider à déterminer si leurs référentiels ont été affectés, les dirigeants de l’INFOSEC devraient auditer les journaux GitHub pour les adresses IP suspectes. S’il est trouvé, les secrets actifs de leurs référentiels doivent être tournés.
Les chercheurs de Wiz Threat Research ont également déclaré que, comme recommandé par GitHub, les développeurs devraient épingler toutes les actions GitHub vers des hachages de validation spécifiques au lieu de tags de version pour atténuer les futures attaques de chaîne d’approvisionnement. Ils devraient également utiliser la fonction de liste d’autorisation de GitHub pour bloquer les actions GitHub non autorisées de l’exécution et de configurer GitHub pour autoriser uniquement les actions de confiance.
Un «incident très grave»
Lors d’une interview lundi matin, le PDG de Stepscurity, Varun Sharma, a appelé cela un «incident très grave». Son entreprise, qui fait un outil de détection et de réponse de point de terminaison pour les environnements CI / CD, a découvert des connexions de réseau sortant inhabituelles à partir de workflows à l’aide de TJ-Action / Files modifiés et alerté GitHub selon lequel une version malveillante de l’outil avait été insérée pour exposer les informations d’identification CI / CD dans les journaux de construction.
« Bien que l’original ait été rétabli », a-t-il ajouté, « il n’est pas clair pourquoi cela a été compromis. »
Il a dit que les dirigeants de l’INFOSEC ou du développement devraient:
- Examiner où les actions TJ / Files modifiées ont été utilisées dans les workflows;
- Déterminez si la version compromise a été utilisée dans les pipelines CI / CD;
- S’il est affecté, tournez immédiatement des informations d’identification exposées, y compris les clés d’API, les jetons d’accès, les mots de passe;
- Passez à une alternative sécurisée pour cet outil ou passez à une version corrigée.
Une méthode de compromis efficace
Les acteurs de la menace ont appris que le compromis des logiciels alors qu’il est en cours de développement est un moyen efficace de se frayer un chemin dans un large éventail d’environnements informatiques, plutôt que de pirater une application à la fois. GitHub et d’autres référentiels de code open source comme NPM, Gitlab, Ruby on Rails et PYPI ont de plus en plus été abusé par des pirates.
Il y a un peu plus d’un an, nous avons signalé que des chercheurs en sécurité avaient montré comment une action GitHub appelée Bazel aurait pu être détromée. En 2012, nous avons signalé une vulnérabilité Rails qui pourrait être exploitée pour insérer des données non autorisées dans une base de données d’applications de Rails via des formulaires Web.
En conséquence, les CISO doivent s’assurer que les développeurs de leurs applications suivent les meilleures pratiques de sécurité s’ils utilisent des plateformes open source pour perfectionner le code.
