깃허브 CI/CD 손상..."즉시 대응해야 하는 심각한 사건"
깃허브 CI/CD 손상..."즉시 대응해야 하는 심각한 사건"
깃허브 액션의 CI/CD 플랫폼을 사용하는 정보 보안 책임자는 빠르게 코드를 삭제해야 한다. 스텝시큐리티에 따르면 3월 14일 tj-actions/changed-files 유틸리티의 45.0.7까지의 모든 버전이 위협 행위자에
www.itworld.co.kr
GitHub Action Compromise Puts CI/CD Secrets at Risk in Over 23,000 Repositories
Supply Chain Attack Targets 23,000 GitHub Repositories
Supply Chain Attack Targets 23,000 GitHub Repositories
A critical security incident has been uncovered involving the popular GitHub Action tj-actions/changed-files, which is used 23,000 repository
gbhackers.com
Supply Chain Compromise of Third-Party GitHub Action, CVE-2025-30066
Supply Chain Compromise of Third-Party tj-actions/changed-files (CVE-2025-30066) and reviewdog/action-setup@v1 (CVE-2025-30154)
This product is provided subject to this Notification and this Privacy & Use policy.
www.cisa.gov
GitHub Action tj-actions/changed-files was compromised in supply chain attack
GitHub Action tj-actions/changed-files was compromised in supply chain attack
The GitHub Action tj-actions/changed-files was compromised, enabling attackers to extract secrets from repositories using the CI/CD workflow.
securityaffairs.com
- 공격 개요
- GitHub Action tj-actions/changed-files가 악의적으로 수정되어 CI/CD 환경에서 비밀정보를 유출
- 공격자는 여러 버전 태그를 동일한 악성 커밋으로 갱신하여 수만 개 저장소를 위협
- 해당 Action은 23,000개 이상의 공개 저장소에서 사용되며 파일 변경 추적에 활용됨
- 공격 방식
- 악성 파이썬 스크립트를 실행하여 CI/CD 런너의 메모리에서 비밀정보 추출
- 공개 저장소에서는 GitHub Actions 로그를 통해 누구나 노출된 정보를 확인 가능
- 주요 노출 정보: GitHub PAT, AWS 키, NPM 토큰, RSA 비밀키 등
- 감염 경로 및 확산
- 초기 타겟은 Coinbase의 오픈소스 프로젝트 agentkit
- 이후 tj-actions의 의존 Action인 reviewdog/action-setup@v1(CVE-2025-30154) 도 동일 시점에 감염
- 감염된 reviewdog 액션이 tj-actions 액션의 계정 토큰 탈취에 활용됨
- 대응 및 복구
- GitHub는 해당 액션 삭제 후 복원 및 모든 태그 최신화
- 보안된 버전 46.0.1 릴리스
- compromised PAT 폐기, 향후 모든 프로젝트에서 PAT 미사용 방침 선언
- CISA는 CVE-2025-30066, CVE-2025-30154를 KEV(공격에 악용된 취약점) 목록에 등재
- 보안 권고
- 영향을 받은 조직은 2025년 3월 12일~15일 실행된 워크플로우 점검
- 모든 노출된 자격 증명 즉시 회수 및 교체
- tj-actions/changed-files → step-security/changed-files로 교체 권장
- 향후 액션 사용 시에는 버전 태그 대신 커밋 해시로 고정하여 업데이트 조작 방지
- GitHub의 허용 목록 기능으로 비인가 액션 실행 차단
- 결론
- 해당 사건은 단순 저장소 손상을 넘어 소프트웨어 공급망 전체에 영향을 미칠 수 있는 위협
- 공개 저장소 기반 워크플로우는 로그 노출로 인해 확산 피해 위험이 큼
- 공격자는 레거시 토큰, 인증 우회, 로그 은닉, 다양한 페이로드 사용 등 고도의 정교함을 보임
- 기업은 CI/CD 구성요소의 의존성과 보안 설정에 대한 정기적인 점검 필요
- 오픈소스 코드 통합 시 공급망 보안 정책 및 감시 체계 강화 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| AMI BMC 취약점 CVE-2024-54085 분석: 서버 원격 제어 및 브릭 위험 (0) | 2025.05.01 |
|---|---|
| CVE-2024-36904, Linux 커널 TCP 서브시스템의 Use-After-Free 취약점 PoC 공개 (0) | 2025.05.01 |
| 수백만 개 RSA 키에서 발견된 치명적 취약점, IoT 보안의 심각한 경고 (0) | 2025.04.21 |
| ManageEngine Analytics Plus AD 인증 우회 취약점(CVE-2025-1724) 분석 (0) | 2025.04.21 |
| Wazuh SIEM 플랫폼의 원격 코드 실행 취약점(CVE-2025-24016) (0) | 2025.04.21 |