Serangan supply chain baru-baru ini menargetkan ‘tj-actions/changed-files’ GitHub Action yang banyak digunakan, mempengaruhi lebih dari 23.000 repositori. Kompromi ini menyebabkan bocornya rahasia CI/CD sensitif, termasuk kunci akses AWS, token akses pribadi GitHub, dan kunci RSA pribadi.
Lini Masa Insiden dan Dampak
14 Maret 2025, 4:00 PM UTC: Penyerang memasukkan commit berbahaya ke repositori ‘tj-actions/changed-files’, memodifikasi kodenya untuk membocorkan rahasia CI/CD dari lingkungan runner GitHub Actions ke log build.
15 Maret 2025, 2:00 PM UTC: GitHub menghapus action yang dikompromikan untuk mencegah eksploitasi lebih lanjut.
15 Maret 2025, 10:00 PM UTC: Repositori dipulihkan dengan kode berbahaya yang telah dihapus.
Repositori yang merujuk action yang dikompromikan dengan tag (misalnya, ‘tj-actions/changed-files@v2’) langsung terpengaruh. Alat otomatis seperti Dependabot dan Renovate mungkin juga telah menyebarkan action yang dikompromikan dengan memperbarui bahkan versi yang dipasang ke digest berbahaya.
Pernyataan Resmi dan Rekomendasi
Varun Sharma, CEO StepSecurity, menekankan perlunya pemantauan keamanan CI/CD secara real-time untuk mendeteksi dan mencegah insiden seperti ini. Ia menyatakan bahwa serangan ini menyoroti risiko yang semakin meningkat dalam supply chain perangkat lunak.
Para ahli keamanan menyarankan organisasi untuk mengidentifikasi dan menghapus action yang dikompromikan dari alur kerja mereka, memutar ulang rahasia yang terungkap, dan memantau pipeline CI/CD untuk aktivitas yang tidak biasa. Mereka menekankan perlunya memperlakukan pipeline pengembangan dengan langkah-langkah keamanan yang sama seperti lingkungan produksi untuk mengurangi potensi risiko.
Sumber:
BleepingComputer
BleepingComputer
Cybersecurity Dive
Cybersecurity Dive
Informa TechTarget