【安全资讯】GitHub供应链攻击泄露23000个项目的机密信息

概要：

近日，GitHub平台遭遇了一起严重的供应链攻击，影响了超过23000个开源项目。攻击者通过篡改流行的GitHub Action tj-actions/changed-files，导致开发者的机密信息泄露到构建日志中，给项目维护者带来了巨大的安全隐患。

主要内容：

StepSecurity披露，攻击者在3月14日之前的某个时刻入侵了tj-actions/changed-files项目，并修改了其代码，使得该Action在执行时泄露开发者的机密信息。这些信息可能包括API密钥、密码和访问令牌等，尤其在公共仓库中，这些信息将被任何人看到。虽然对私有仓库的风险较低，但维护者仍需考虑其项目可能已被攻陷。

根据Sysdig的分析，攻击者通过注入一个Node.js函数，执行一个Python脚本，从Runner Worker进程中泄露CI/CD机密。尽管目前没有证据表明泄露的机密被外部服务器提取，但安全专家警告，项目维护者需立即采取措施，确保其机密信息不被曝光。Wiz团队发现，已有多个公共仓库的机密信息被公开，甚至包括一些大型组织的项目。

tj-actions团队确认，此次攻击是由于一个机器人账户被攻陷所致。为防止类似事件再次发生，团队已更新了账户密码，并采取了更严格的权限管理措施。同时，GitHub建议开发者在使用Actions时，应将其固定到特定的提交哈希，以降低未来供应链攻击的风险。此次事件已被分配为CVE-2025-30066（高危）。