GitHub Actionsの人気 action changed-files が侵害されたサプライチェーン攻撃事例 CVE-2025-30066
- 発覚: 2025-03-14 09:00 PT (16:00 UTC)、StepSecurity が Harden-Runner の挙動監視で検知
- 侵害手法:
@tj-actions-botの PAT が奪取(取得経路は不明)- リポジトリ外で作成した malicious commit (
0e58ed86...) に全タグを retroactively 付け替え(tag 移動による action 汚染の典型)
- ペイロード: Python script が
/proc/[pid]/mem経由で GitHub Actions runner プロセスのメモリから secrets を dump、log に double base64 で出力 - 影響: 23,000+ リポジトリ。compromise 窓は約 37 時間 (2025-03-14 16:00 UTC 〜 2025-03-15 22:00 UTC)。public repo の log は誰でも読めるため secrets 漏洩
- 復旧: 2025-03-15 22:00 UTC に GitHub がリポジトリを復旧、その後
v46.0.1リリース - 対処:
step-security/changed-files@v45等への切替、または SHA pin 化、漏洩可能性ある secrets を rotate