Popular GitHub Action “tj-actions/changed-files” Compromised (CVE-2025-30066)
2025/03/15 SecurityOnline — GitHub Action “tj-actions/changed-files” は、広く使用されている ソフトウェア・ワークフローのためのものだが、新たに検出された深刻なセキュリティ・インシデントが懸念を生じている。セキュリティ侵害を積極的に調査する Step Security は、ユーザーに警告を発し、速やかに是正措置を取るよう促している。このインシデントを追跡するコードとして、公式に CVE-2025-30066 が採番されている。
ネットワーク・トラフィックに出現した、想定外のエンドポイントによりトリガーされた異常により、この侵害は検出されている。Step Security の Harden-Runner によると、このインシデントは、2025年3 月14日午前9時 (UTC 午後 4時) 頃に始まったとされる。
アクションのコードを変更した攻撃者は、複数のバージョン・タグを遡及的に更新し、悪意のコミットを指し示すようにした。その後も、この悪意のコードは、GitHub Actions ビルド・ログに CI/CD シークレットを出力した。これらのワークフロー・ログが、パブリック・リポジトリの場合のようにアクセスできるものであれば、誰もがシークレットを取得できる事態となった。
Step Security のレポートによると、侵害されたアクションは、Runner Worker プロセスから CI/CD シークレットをダンプするように設計された、悪意の Python スクリプトを実行するという。
ワークフローのネットワーク・トラフィックで想定外のエンドポイントが検出された際に、Step Security の Harden-Runner ソリューションにより、この問題はフラグが付けされた。このインシデントに対応する Step Security は、侵害されたアクションの安全な代替品である “step-security/changed-files” を無料でリリースした。同社がユーザーに強く推奨するのは、すべての “tj-actions/changed-files” のインスタンスを、この安全な代替品に置き換えることである。
GitHub Action “tj-actions/changed-files” は、23,000 を超えるリポジトリで使用されているため、この侵害の規模は重要である。この侵害を受けた GitHub は、”tj-actions/changed-files” アクションを削除し、GitHub Actions ワークフローで使用できないようにした。
侵害されたアクションを使用し、ビルド・ログでシークレットを漏洩していることが判明した、パブリック・リポジトリの管理者に対して、Step Security が促したのは、回復手順の速やかな確認である。それらのビルド・ログは公開されているため、漏洩したシークレットを、誰もが盗み出せる状態にある。
ユーザーに対して推奨されるのは、以下のアクションを実行である:
- 侵害されたアクションの置き換え:すべての “tj-actions/changed-files” インスタンスを、Step Security が提供する安全な代替手段 “step-security/changed-files” により、速やかに置き換える。
- Actions Inventory の確認:リポジトリ全体でコード検索を実行し、すべての侵害されたアクションのインスタンスを見つけ出す。
- GitHub Actions Workflow Run Logs の確認:最近に実行されたアクションにより、特に危険なパブリック・リポジトリで漏洩した可能性のある、シークレットの有無を確認する。
- 漏洩したシークレットのローテーション:対象となるログ内で、シークレットが見つかった場合には、速やかにローテーションを実行する。
GitHub Action の “tj-actions/changed-files” が改ざんされ、CI/CD のシークレット情報がビルド・ログに出力されるという、深刻な脆弱性 (MITRE 評価:CVSS 8.6) が発生しています。有難いことに、該当のアクションの削除から代替ツールの無償リリースまでが、迅速に行われています。ご利用のチームは、Step Security のブログを、ご確認下さい。また、よろしければ、GitHub で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.