بازیابی کد پس از تغییرات مخرب توسط گیتهاب

به گزارش کارگروه امنیت خبرگزاری سایبربان، روز جمعه، شرکت امنیت سایبری استپ سکیوریتی (StepSecurity) درباره یک حادثه امنیتی که ابزار tj-actions/changed-files را تحت تأثیر قرار داده است، هشدار داد.

این ابزار محبوب که برای ردیابی تغییرات فایل و اجرای اقدامات وابسته به این تغییرات استفاده می‌شود، بیش از ۱ میلیون دانلود ماهانه دارد.

طبق گزارش استپ سکیوریتی، مهاجمان کد این ابزار را تغییر دادند و باعث شدند که مخازن عمومی تحت تأثیر قرار گرفته و اطلاعات حساس در لاگ‌ها افشا شوند.

آسیب‌پذیری که با شناسه CVE-2025-30066 شناخته می‌شود، به مهاجمان از راه دور اجازه می‌دهد تا اسرار یکپارچه‌سازی و تحویل مداوم (CI/CD) را از طریق لاگ‌های بیلد افشا کنند.

این آسیب‌پذیری برای هر کاربری که از tj-actions/changed-files برای ردیابی تغییرات در درخواست‌های کشش (Pull Request) استفاده می‌کند، خطرناک است.

اگر این لاگ‌ها در مخازن عمومی قابل دسترسی باشند، مهاجمان می‌توانند اطلاعات حساس را به صورت متن ساده استخراج کنند.

کارشناسان آکوا سکیوریتی (Aqua Security) تأیید کردند که کاربران غیرمجاز می‌توانند این داده‌ها را مشاهده و بازیابی کنند.

گیتهاب برای رفع این مشکل، تا روز شنبه وارد عمل شده بود.

یک سخنگوی این شرکت اعلام کرد که هیچ مدرکی مبنی بر به خطر افتادن خود گیتهاب یا سیستم‌های آن وجود ندارد.

وی توضیح داد:

tj-actions یک پروژه متن‌باز است که توسط کاربران مدیریت می‌شود. ما برای احتیاط بیشتر، حساب‌های کاربری مرتبط را تعلیق و محتوا را بر اساس سیاست‌های استفاده قابل‌قبول گیتهاب حذف کردیم. ما پس از اطمینان از حذف تمامی تغییرات مخرب و ایمن‌سازی منبع نفوذ، حساب را مجدداً فعال و محتوا را بازیابی کردیم. کاربران همیشه باید قبل از به‌روزرسانی، گیتهاب اکشنز (GitHub Actions) یا هر بسته دیگری که در کد خود استفاده می‌کنند را بررسی کنند.

تا ساعت ۱۰ شب شنبه، کد به حالت اصلی خود بازگردانده شد، اما هنوز مشخص نیست چه کسی و با چه هدفی آن را تغییر داده بود.

برخی از مدیران پروژه اظهار کردند که توکن دسترسی شخصی گیتهاب (GitHub) یکی از ربات‌های مرتبط با tj-actions/changed-files توسط مهاجمان به سرقت رفته است.

تحقیقات شرکت تحقیقات تهدید ویز (Wiz Threat Research) نشان داد که ده‌ها مخزن تحت تأثیر این حمله قرار گرفته‌اند، از جمله مخازنی که متعلق به شرکت‌های بزرگ هستند.

برخی از اسرار فاش‌شده شامل موارد زیر است:
•    کلیدهای دسترسی AWS
•    توکن‌های شخصی گیتهاب (PATs)
•    توکن‌های npm
•    کلیدهای خصوصی RSA

شرکت امنیتی اندور لبز (Endor Labs) که این حادثه را بررسی کرده، اعلام کرد که هیچ شواهدی مبنی بر تأثیر این حمله بر کتابخانه‌های متن‌باز یا کانتینرهای پایین‌دستی وجود ندارد.

کارشناسان معتقدند که اکوسیستم یکپارچه‌سازی و تحویل مداوم گیتهاب یک هدف ارزشمند برای هکرهایی است که به دنبال تزریق کد مخرب هستند.

جیسون سوراکو از شرکت سکتیگو (Sectigo) هشدار داد که این حادثه آسیب‌پذیری‌های سیستماتیک موجود در وابستگی‌های شخص ثالث و خطوط لوله اتوماسیون را آشکار می‌کند.

او توصیه کرد:

متخصصان امنیتی باید مخازن خود را بررسی کرده و هرگونه استفاده از این اکشن آلوده را حذف یا جایگزین کنند. همچنین، تمامی اسرار فاش‌شده مانند کلیدهای AWS، توکن‌های گیتهاب PATs، توکن‌های npm و کلیدهای RSA باید تغییر یابند.

اریک شواک، مدیر امنیتی شرکت سالت سکیوریتی (Salt Security)، اظهار داشت که این حادثه نشان‌دهنده خطرات ابزارهای پرکاربرد و ظاهراً بی‌ضرر است که می‌توانند به عنوان بردار حمله مورد سوءاستفاده قرار گیرند.

برخی کارشناسان پیشنهاد کرده‌اند که سیاست امضای دیجیتال برای همه تغییرات کد اعمال شود، زیرا تغییرات اعمال‌شده در tj-actions/changed-files تأیید نشده بودند.

آلون موریینیک، مدیر مهندسی نرم‌افزار در شرکت بلک داک (Black Duck)، توضیح داد که این کار ممکن است فرآیند توسعه را پیچیده کند و توسعه‌دهندگان جدید را دلسرد کند، اما می‌توانست از وقوع چنین حملاتی جلوگیری کند.

او افزود:

گیتهاب اکشنز در نهایت یک قطعه نرم‌افزار است و مانند هر نرم‌افزاری، راهکارهایی برای اطمینان از به‌روز بودن و رفع آسیب‌پذیری‌های آن وجود دارد. هرچند ممکن است برخی این مشکلات را صرفاً مسئولیت پلتفرم بدانند، اما تأمین امنیت یک پروژه نرم‌افزاری وظیفه کسانی است که آن را می‌سازند، چه به‌صورت محلی و چه با استفاده از سرویس‌های شخص ثالثی مانند گیتهاب.