23,000以上のリポジトリーで広く使用されているtj-actions/changed-files GitHub Actionに対する最近のサプライチェーン攻撃により、CI/CDセキュリティーに関する深刻な懸念が生じている。2025年3月14日に発生したこの攻撃では、アクションのコードが変更され、複数のバージョンタグが悪意のあるコミットに更新された。これにより、ワークフローは、ワークフローログを通じて機密のCI/CDシークレットを漏洩するスクリプトを実行した。この侵害は脆弱性として追跡されており、CVE-2025-30066が割り当てられている。
攻撃者は、base64でエンコードされたペイロードを含むNode.js関数を使ってコミットを偽装することで、悪意のあるコードを挿入することに成功した。これらのペイロードは、GitHub Actionタグに追加された。ペイロードをデコードすると、GitHub Gistから追加の悪意のあるPythonコードをダウンロードするスクリプトが明らかになった。次に、Pythonスクリプトは、正規表現を使って、GitHub Runnerの「Runner.worker」プロセスのメモリーをスキャンし、機密性の高い認証情報を探した。抽出された秘密はワークフローログに出力され、権限のない個人がアクセスできるようになった。
この攻撃に関連するリスクを軽減するために、いくつかの即時のアクションが提案されている。これには、GitHubの許可リストを使って侵害されたアクションをブロックし、信頼できるアクションで更新し続けること、GitHub Actionsを特定のコミットSHAに固定すること、疑わしいアクティビティーがないかログを監視して侵害されたシークレットをすぐにローテーションすること、分析後に影響を受けたログを削除して公開されたシークレットの痕跡を消すことでワークフローログを管理することが含まれる。
Harness Supply Chain Security(SCS)は、ワークフロー内のリスクを特定して軽減することで、ソフトウェアサプライチェーンのセキュリティー保護に役立つツールだ。未検証の依存関係、ピン留めされていないGitHub Actions、重大なセキュリティー構成ミスをスキャンし、脆弱性が悪用される前に検出して対処できるようにする。また、Harnessはサプライチェーンのベンチマークを実施し、包括的なセキュリティーチェックを実行し、将来の攻撃を防ぐためのプロアクティブな対策を実施する。SCSモジュールは、サプライチェーンのリスクや攻撃の影響範囲を最小限に抑えるための追加ルールを提供し、攻撃対象領域を制限してセキュリティーを強化する。
近い将来、Harness SCSランタイム分析とTraceableの統合により、GitHub ActionsとHarness CIの両方のランタイム保護を大幅に強化するいくつかの機能が提供される予定だ。これらの機能には、GitHubのログAPIとの統合による漏洩したシークレットの検出機能、外部URLへの異常なGitHub Action呼び出しの検出機能、悪意のあるリモートコード実行(RCE)呼び出しの検出機能が含まれる。これらの機能は、潜在的な脅威が拡大する前にブロックするのに役立つ。
tj-actions/changed-filesサプライチェーン攻撃は、CI/CDセキュリティーのリスクが増大していることを如実に物語っている。同様のインシデントを防ぐために、組織はプロアクティブなセキュリティー対策を採用し、固定アクションの使用、ワークフローの監査、厳格なアクセス制御の実施などのベストプラクティスに従う必要がありますHarness SCSなどのツールは、将来の攻撃を防ぐ上で重要な役割を果たす。
出典:Harness
この製品の詳細については、製品ページをご覧ください。
