La compromission de l’action GitHub tj-actions / changed-files n’a affecté qu’un faible pourcentage des 23 000 projets qui l’utilisent, avec une estimation que seuls 218 référentiels exposaient des secrets en raison de l’attaque de la chaîne d’approvisionnement.
Malgré le petit nombre, les répercussions potentielles sur la sécurité sont encore importantes car certains référentiels sont très populaires et pourraient être utilisés dans d’autres attaques de la chaîne d’approvisionnement.
Cela dit, les propriétaires de référentiels exposés doivent prendre des mesures immédiates pour faire tourner leurs secrets avant que les attaquants n’aient la chance d’exploiter la fuite.
Attaque de la chaîne d’approvisionnement GitHub
L’action GitHub ‘tj-actions/ changed-files’ a été compromise par des attaquants qui ont ajouté un commit malveillant le 14 mars 2025 pour vider les secrets CI/CD du processus de travail Runner vers le référentiel.
Si les journaux de flux de travail étaient définis pour être accessibles au public, ces secrets pourraient être consultés et lus par n’importe qui.
Une enquête ultérieure a montré que l’attaque avait probablement été rendue possible par une autre attaque de la chaîne d’approvisionnement ciblant l’action GitHub « reviewdog/action-setup@v1 ».
Cette violation peut avoir compromis un jeton d’accès personnel (PAT) GitHub utilisé par un bot qui avait le privilège d’effectuer des modifications sur ‘tj-actions/fichiers modifiés.’
Faible pourcentage exposé
Selon les données partagées par Endor Labs qui ont surveillé l’exposition des secrets résultant de ladite attaque de la chaîne d’approvisionnement, l’impact de l’incident semble être limité mais toujours significatif.
Pendant la période d’exposition, entre le 14 mars à 16h00 UTC et le 15 mars à 14h00 UTC, 5 416 référentiels répartis dans 4 072 organisations distinctes ont référencé l’Action GitHub ciblée.
Endor rapporte que certains référentiels ont plus de 350 000 étoiles et 63 000 fourches, de sorte que leur compromission pourrait avoir un impact sur de nombreux utilisateurs.
Sur les 5 416 référentiels référençant l’action GitHub, 614 ont exécuté le flux de travail respectif dans la période donnée, plusieurs de ces multiples fois également.
Sur ces 614, Endor dit que 218 secrets réellement imprimés dans le journal de la console, le reste étant protégé en suivant les « recommandations des meilleures pratiques » qui ont agi comme une sécurité intégrée pour empêcher l’exposition des secrets.
« Le fait d’avoir exécuté l’action ne signifie pas nécessairement que des informations d’identification ont été imprimées dans le journal de la console », explique Endor.
« Certains référentiels ont suivi les recommandations des meilleures pratiques et référencé le commit SHA au lieu d’une balise modifiable. »
« D’autres ont été exécutés avant que l’attaquant n’altère toutes les balises de version de sorte qu’elles pointent vers le commit malveillant. »
Dans la plupart des cas, les secrets exposés étaient des jetons d’accès d’installation GitHub, qui, selon le fournisseur, expirent dans les 24 heures, ne laissant aux attaquants qu’une fenêtre d’exploitation limitée.
Dans certains cas, cependant, des informations d’identification pour DockerHub, npm et AWS ont été divulguées, ce qui pose un risque de sécurité plus élevé.
Il y a encore des questions quant à savoir si la violation initiale de Reviewdog a conduit à d’autres compromis au-delà de tj-actions et si l’un des 218 projets exposés par l’attaque de tj-actions a également subi un compromis.
Il est fortement recommandé aux utilisateurs d’Actions GitHub de consulter les conseils de renforcement de la sécurité de GitHub et de restreindre l’accès aux fichiers et dossiers susceptibles d’exposer des informations sensibles.