GitHub供应链攻击事件：Coinbase遭袭，218个仓库暴露，CI/CD密钥泄露

此次供应链攻击涉及GitHub Action "tj-actions/changed-files"，最初是针对Coinbase的一个开源项目的高度定向攻击，随后演变为范围更广的威胁。

攻击过程与影响

Palo Alto Networks Unit 42在一份报告中指出：“攻击载荷主要针对其开源项目agentkit的公共CI/CD流程，可能是为了利用它进行进一步的攻击。然而，攻击者未能使用Coinbase的密钥或发布软件包。”

该事件于2025年3月14日曝光，当时发现"tj-actions/changed-files"被入侵，注入了泄露运行该工作流的仓库中敏感密钥的代码。该漏洞被分配了CVE标识符CVE-2025-30066（CVSS评分：8.6）。

根据Endor Labs的估计，218个GitHub仓库因这次供应链攻击暴露了其密钥，泄露的信息主要包括DockerHub、npm和亚马逊云服务（AWS）的“几十个”凭证，以及GitHub安装访问令牌。

安全研究员Henrik Plate表示：“考虑到成千上万的仓库依赖于这个GitHub Action，供应链攻击的初始规模听起来很可怕。然而，深入分析工作流、运行情况和泄露的密钥后，发现实际影响比预期的要小：‘仅’218个仓库泄露了密钥，其中大多数是短期的GITHUB_TOKEN，一旦工作流运行完成就会过期。”

攻击手段与后续发展

此后，另一个名为"reviewdog/action-setup"的GitHub Action的v1标签也被入侵，该标签通过"tj-actions/eslint-changed-files"作为依赖项被"tj-actions/changed-files"使用，其攻击载荷与tj-actions事件类似。"reviewd