内容摘要：美国网络安全和基础设施安全局CISA）于本周二将一项与 GitHub Action tj-actions/changed-files 供应链攻击相关的漏洞添加至其已知可利用漏洞KEV）目录中。高危漏洞

美国网络安全和基础设施安全局（CISA）于本周二将一项与 GitHub Action tj-actions/changed-files 供应链攻击相关的警告击已漏洞添加至其已知可利用漏洞（KEV）目录中 。

高危漏洞允许攻击者窃取敏感数据

该高危漏洞被标记为 CVE-2025-30066（CVSS 评分 ：8.6），链攻涉及 GitHub Action 的遭利入侵
，攻击者通过注入恶意代码可远程访问敏感数据。警告击已CISA在警报中表示
 ：“tj-actions/changed-files GitHub Action 存在嵌入式恶意代码漏洞 ，链攻允许远程攻击者通过读取操作日志来发现机密信息。遭利这些机密信息可能包括但不限于有效的警告击已 AWS 访问密钥 、GitHub 个人访问令牌（PAT）、链攻npm 令牌以及私有的遭利 RSA 密钥 。”

供应链攻击链的免费模板警告击已复杂过程

云安全公司 Wiz 随后透露，此次攻击可能是链攻一次连锁供应链攻击的实例  ，不明身份的遭利威胁行动者首先入侵了 reviewdog/action-setup@v1 GitHub Action，进而渗透到 tj-actions/changed-files 。警告击已Wiz 研究员 Rami McCarthy 表示：“tj-actions/eslint-changed-files 使用了 reviewdog/action-setup@v1，链攻而 tj-actions/changed-files 仓库使用个人访问令牌运行了该 Action。遭利reviewdog Action 的入侵时间与 tj-actions PAT 被窃的时间大致相同。”

目前尚不清楚该入侵是高防服务器如何发生的 ，但据称入侵发生在 2025 年 3 月 11 日  ，而 tj-actions/changed-files 的泄露则发生在 3 月 14 日之前的某个时间点。这意味着被感染的 reviewdog Action 可能被用于向使用它的任何 CI/CD 工作流中插入恶意代码，例如在名为 install.sh 的文件中追加 Base64 编码的有效负载。

维护者披露攻击细节及应对措施

tj-actions 的源码库维护者披露，此次攻击是由于 GitHub 个人访问令牌（PAT）被窃所致，攻击者利用该令牌在仓库中植入了未授权的代码  。McCarthy 补充道 ：“我们可以确认 ，攻击者获得了足够的权限，可以将 v1 标签更新为他们在仓库分叉上放置的恶意代码 。reviewdog GitHub 组织的贡献者基数相对较大，并且似乎通过自动邀请积极增加贡献者 。模板下载这在无形中扩大了攻击面，使得攻击者可以窃取贡献者的访问权限 
，或恶意获得贡献者访问权限 。”

建议与后续防范

鉴于此次事件，CISA 建议受影响的用户和联邦机构在 2025 年 4 月 4 日前更新至 tj-actions/changed-files 的最新版本（46.0.1） ，以防范正在活跃的威胁 。但由于根本原因尚未完全解决 ，未来仍有再次发生类似事件的风险。服务器租用除了用更安全的替代方案替换受影响的 Action 外 ，还建议用户审核过去的工作流是否存在可疑活动，轮换所有泄露的机密信息，并将所有 GitHub Actions 固定到特定的提交哈希值 ，而不是版本标签。

源码下载