Uma popular ação do GitHub, tj-actions/changed-files, foi comprometida por um invasor, permitindo a execução de um script malicioso projetado para roubar segredos de CI/CD. A falha foi descoberta pela StepSecurity, uma empresa especializada na segurança das GitHub Actions. Esse ataque explora a automação de fluxos de trabalho do GitHub, que é frequentemente usada para testes e implementações automatizadas.
Leia também
Hackers encadearam falhas em ataque a soluções Ivanti
A proteção na Internet das Coisas Médicas
O invasor conseguiu modificar o código da ação no dia 14 de março, inserindo um script Python que expõe os segredos de CI/CD nos logs de compilação do GitHub Actions. Se esses logs estiverem disponíveis publicamente — o que ocorre em repositórios públicos —, as credenciais podem ser acessadas por qualquer pessoa na Internet. A StepSecurity confirmou ter encontrado segredos vazados em múltiplos repositórios públicos, embora não haja evidências de que tenham sido explorados por terceiros mal-intencionados até o momento.
Como medida de mitigação, a StepSecurity desenvolveu uma alternativa segura para a ação comprometida e recomenda que todos os usuários substituam imediatamente as instâncias de tj-actions/changed-files pelo novo código seguro. A empresa também alerta que a maioria das versões dessa ação foram comprometidas, reforçando a necessidade de atualização urgente.
