美国网络安全和基础设施安全局（CISA）于本周二将一项与 GitHub Action tj-actions/changed-files 供应链攻击相关的警告击已漏洞添加至其已知可利用漏洞（KEV）目录中。

高危漏洞允许攻击者窃取敏感数据

该高危漏洞被标记为 CVE-2025-30066（CVSS 评分 ：8.6） ，链攻涉及 GitHub Action 的遭利入侵 ，攻击者通过注入恶意代码可远程访问敏感数据。警告击已CISA在警报中表示 ：“tj-actions/changed-files GitHub Action 存在嵌入式恶意代码漏洞
，链攻允许远程攻击者通过读取操作日志来发现机密信息 
。遭利这些机密信息可能包括但不限于有效的警告击已 AWS 访问密钥 、GitHub 个人访问令牌（PAT）、链攻npm 令牌以及私有的遭利 RSA 密钥。”

供应链攻击链的源码库警告击已复杂过程

云安全公司 Wiz 随后透露，此次攻击可能是链攻一次连锁供应链攻击的实例 
，不明身份的遭利威胁行动者首先入侵了 reviewdog/action-setup@v1 GitHub Action  ，进而渗透到 tj-actions/changed-files 。警告击已Wiz 研究员 Rami McCarthy 表示 ：“tj-actions/eslint-changed-files 使用了 reviewdog/action-setup@v1 ，链攻而 tj-actions/changed-files 仓库使用个人访问令牌运行了该 Action 。遭利reviewdog Action 的入侵时间与 tj-actions PAT 被窃的时间大致相同。”

目前尚不清楚该入侵是香港云服务器如何发生的，但据称入侵发生在 2025 年 3 月 11 日  ，而 tj-actions/changed-files 的泄露则发生在 3 月 14 日之前的某个时间点。这意味着被感染的 reviewdog Action 可能被用于向使用它的任何 CI/CD 工作流中插入恶意代码 ，例如在名为 install.sh 的文件中追加 Base64 编码的有效负载。

维护者披露攻击细节及应对措施

tj-actions 的亿华云维护者披露，此次攻击是由于 GitHub 个人访问令牌（PAT）被窃所致，攻击者利用该令牌在仓库中植入了未授权的代码。McCarthy 补充道 ：“我们可以确认，攻击者获得了足够的权限 ，可以将 v1 标签更新为他们在仓库分叉上放置的恶意代码。reviewdog GitHub 组织的贡献者基数相对较大 ，并且似乎通过自动邀请积极增加贡献者
 。云计算这在无形中扩大了攻击面，使得攻击者可以窃取贡献者的访问权限 ，或恶意获得贡献者访问权限。”

建议与后续防范

鉴于此次事件
，CISA 建议受影响的用户和联邦机构在 2025 年 4 月 4 日前更新至 tj-actions/changed-files 的最新版本（46.0.1） ，以防范正在活跃的威胁。但由于根本原因尚未完全解决，未来仍有再次发生类似事件的风险。免费模板除了用更安全的替代方案替换受影响的 Action 外，还建议用户审核过去的工作流是否存在可疑活动 ，轮换所有泄露的机密信息，并将所有 GitHub Actions 固定到特定的提交哈希值，而不是版本标签 。

高防服务器