In breve
Marzo 2025: la popolare GitHub Action tj actions/changed files (utilizzata da oltre 23k repository) è stata compromessa; codice malevolo ha riversato segreti CI/CD (token AWS, GCP, npm) nei log pubblici dei workflow. Esempi precedenti del...
Come funziona
Marzo 2025: la popolare GitHub Action tj actions/changed files (utilizzata da oltre 23k repository) è stata compromessa; codice malevolo ha riversato segreti CI/CD (token AWS, GCP, npm) nei log pubblici dei workflow. Esempi precedenti del...
Indicatori rossi
- l'Action utilizza il riferimento 'main' invece di uno SHA pinnato
- l'Action registra nuovi comandi simili a dump delle variabili d'ambiente
- segreti del workflow trapelati nei log pubblici
- improvviso aumento di rilasci pubblicati dai maintainer. DA FARE: pinnare (pin) tutte le GitHub Actions allo SHA del commit, non a 'main'; verificare le Action di terze parti prima di adottarle; utilizzare GitHub OIDC + credenziali cloud a breve durata; distribuire GuardDog / StepSecurity Harden Runner
Cosa fare
- 1ruotare TUTTI i segreti esposti a quel workflow, verificare i log di accesso al cloud, revocare temporaneamente la trust OIDC
Fonte
FAQ
GitHub Action / CI CD supply chain — compromissione di tj actions/changed files, marzo 2025 e una truffa reale?
Si. Tratta messaggi, chiamate o richieste di pagamento come sospette finche non le verifichi da un canale ufficiale.
Quali sono i primi segnali?
l'Action utilizza il riferimento 'main' invece di uno SHA pinnato; l'Action registra nuovi comandi simili a dump delle variabili d'ambiente; segreti del workflow trapelati nei log pubblici
Cosa devo fare subito?
ruotare TUTTI i segreti esposti a quel workflow, verificare i log di accesso al cloud, revocare temporaneamente la trust OIDC
LegalAudit puo controllare il mio caso?
Si. Apri la chat gratis e incolla messaggio, link, mittente o dati di pagamento per un triage.