Ataque à cadeia de suprimentos no GitHub Actions expõe dados sensíveis de CI/CD

A vulnerabilidade CVE-2025-30066 afetou a ação “tj-actions/changed-files”, amplamente utilizada e presente em 23 mil repositórios.

No último dia 14, invasores adicionaram um commit malicioso à ferramenta, fazendo com que dados sensíveis do CI/CD do processo Runner Worker fossem despejados no repositório de qualquer projeto que utilizasse a ação. Caso os logs do fluxo de trabalho estivessem acessíveis publicamente, qualquer pessoa poderia visualizar e roubar as credenciais expostas.

Os invasores modificaram o código da ação e atualizaram retroativamente diversas versões para referenciá-lo, comprometendo todas as versões do recurso. Segundo os desenvolvedores responsáveis, o ataque ocorreu por meio da violação de um token de acesso pessoal do GitHub associado ao bot “@tj-actions-bot”, que tinha acesso privilegiado ao repositório. No entanto, ainda não está claro como o token foi comprometido.

No dia 15, o GitHub removeu a ação comprometida, eliminou o código malicioso e restaurou o repositório. Apesar da correção, o incidente ainda impacta projetos que utilizaram a versão comprometida da ferramenta.

O repositório atualizado agora traz instruções para os usuários afetados, incluindo a rotação de credenciais utilizadas durante o período do ataque e a revisão dos fluxos de trabalho para identificar possíveis saídas inesperadas na seção “changed-files”.

Para mitigar ataques semelhantes no futuro, o GitHub recomenda que todas as ações do GitHub Actions sejam fixadas em hashes de commit específicos, em vez de utilizar apenas tags de versão.