Titre | Supply chain attaque cible deux Actions populaires de GitHub |
Numéro de Référence | Numéro de Référence 53532703 /25 |
Date de publication | Date de publication 27 mars 2025 |
Niveau de Risque | Niveau de Risque Critique |
Niveau d'Impact | Niveau d'Impact Critique |
GitHub Action : tj-actions/changed-files version antérieure à v46.0.1.
GitHub Action : reviewdog/action-setup version antérieure à reviewdog/action-setup@3f401fe.
CVE-2025-30066, CVE-2025-30154
Deux Actions populaires de GitHub (tj-actions/changed-files et reviewdog/action-setup) ont été compromises. La compromission de la chaîne d’approvisionnement permet à des attaquants d'accéder à des secrets sensibles dans des projets utilisant ces Actions. Les secrets potentiellement exposés incluent (Clés d'accès valides, Tokens d'accès personnel GitHub (PATs), Tokens npm et Clés RSA privées).
Veuillez se référer aux bulletins de sécurité GitHub pour plus d’information.
Il est recommandé de prendre les mesures suivantes :
Effectuer un audit pour localiser tous les projets utilisant tj-actions/changed-files ou reviewdog/action-setup dans les plages horaires et versions compromises.
Vérifier les workflows ayant exécuté des commits malveillants pour identifier les secrets potentiellement compromis.
Remplacer immédiatement les clés d'accès, tokens GitHub, tokens npm, et clés RSA privées exposés.
Mettre à jour tj-actions/changed-files vers v46.0.1.
Mettre à jour reviewdog/action-setup vers la version corrigée reviewdog/action-setup@3f401fe.
Divulgation des informations sensibles
Compromission des systèmes
Exécution de code malveillant
Bulletin de sécurité GitHub du 25 mars 2025:
Malicious commit:
0e58ed8671d6b60d0890c21b07f8835ace038e67
Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma
DGSSI2025 All rights reserved