cve-2025-30066 - RunkIntel

# CVE-2025-30066 > [!high] Backdoor em GitHub Action Popular - Exfiltração de Secrets CI/CD > O GitHub Action `tj-actions/changed-files`, usado por mais de 23.000 repositórios, foi comprometido com código malicioso que exfiltrava segredos de CI/CD (tokens de API, credenciais cloud) para logs públicos. Ataque de supply chain com impacto massivo em pipelines DevSecOps. ## Visão Geral [[cve-2025-30066|CVE-2025-30066]] documenta o comprometimento do GitHub Action `tj-actions/changed-files`, uma das ações mais populares do ecossistema GitHub com mais de 23.000 repositórios utilizando-a. O atacante injetou código malicioso que percorria variáveis de ambiente do runner e imprimia secrets do CI/CD - incluindo tokens AWS, chaves de API e credenciais de cloud - diretamente nos logs de execução públicos do GitHub Actions. O vetor de ataque foi sofisticado: o tag de versão legítimo foi repontado para um commit malicioso sem alterar o número de versão, permitindo que organizações que "pinavam" versões específicas ainda executassem o código comprometido. O ataque está relacionado ao comprometimento anterior do `reviewdog/action-setup`, sugerindo uma cadeia de supply chain coordenada. Para organizações latino-americanas que adotam GitHub Actions em pipelines DevOps, o impacto potencial inclui exposição de credenciais cloud (AWS, GCP, Azure), tokens de deploy e chaves de serviços internos - possibilitando comprometimento de infraestrutura de produção. > [!latam] Relevância LATAM > Empresas de tecnologia brasileiras e fintech LATAM que utilizam GitHub Actions em pipelines de deployment contínuo devem auditar seus logs de Actions para o período de 14-15 março de 2025. Qualquer token de cloud ou API key exposta nesse período deve ser rotacionada imediatamente. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Supply Chain Compromise (CWE-1357) | | Componente | `tj-actions/changed-files` GitHub Action | | Mecanismo | Tag repontado para commit malicioso | | Impacto | Exfiltração de secrets via CI/CD logs públicos | | Repositórios afetados | ~23.000+ | ## Attack Flow ```mermaid graph TB A["🎯 Comprometimento Credenciais de mantenedor"] --> B["🔧 Injeção de código Commit malicioso adicionado"] B --> C["🏷️ Tag repontado Versão legítima compromet."] C --> D["⚡ Execução em pipelines Repositórios afetados"] D --> E["📤 Exfiltração Secrets em logs públicos"] E --> F["🔑 Comprometimento Tokens cloud / API keys"] ``` ## TTPs Associadas - [[t1195-002-compromise-software-supply-chain|T1195.002]] - Comprometimento de supply chain de software - [[t1552-001-credentials-in-files|T1552.001]] - Credenciais em arquivos de configuração - [[t1059-004-unix-shell|T1059.004]] - Scripts shell em CI/CD runners ## Detecção e Defesa **Mitigação primária:** Atualizar para `tj-actions/[email protected]` ou posterior. Usar hash de commit ao invés de tags: `tj-actions/changed-files@<sha256>`. **Auditoria:** Revisar logs de GitHub Actions para o período 14-15 março 2025 em busca de saídas suspeitas. **Mitigações estruturais:** - [[m1051-update-software|M1051]] - Fixar dependências por hash SHA em vez de tags mutáveis - [[m1047-audit|M1047]] - Auditar regularmente GitHub Actions utilizadas no pipeline - Rotacionar todos os secrets expostos nos logs do período afetado ## Referências - [GitHub Advisory GHSA](https://github.com/advisories) - [Wiz Research - tj-actions compromise](https://www.wiz.io/blog) - [Socket.dev - Supply chain analysis](https://socket.dev/blog) - [BleepingComputer - GitHub Action backdoor](https://www.bleepingcomputer.com)