Un ataque a la cadena de suministro comprometió GitHub Actions “tj-actions/changed-files” filtrando secretos de 218 repositorios de los 5.416 afectados.
Resumen del ataque
Hackers agregaron un commit malicioso el 14 de marzo de 2025 para extraer secretos del proceso Runner Worker.
Si los logs eran públicos, los secretos quedaron expuestos para cualquiera.
Se cree que el ataque provino de la acción reviewdog/action-setup@v1 que permitió comprometer un GitHub personal access token (PAT) con permisos de modificación.
Impacto del ataque
- Repositorios afectados: 218 expusieron secretos en los logs.
- Repositorios referenciando la acción: 5,416 en 4,072 organizaciones.
- Repositorios con ejecución durante el ataque: 614, algunos múltiples veces.
- Repos comprometidos con alto alcance:
- +350,000 estrellas ⭐
- +63,000 forks
Algunos secretos filtrados tienen alto riesgo de abuso:
✅ GitHub install tokens (expiran en 24h, bajo impacto).
❌ Credenciales de DockerHub, npm y AWS (mayor riesgo, deben ser rotadas inmediatamente).
¿Cómo protegerse de los ataques a la cadena de suministros de Github?
✔ Rotar todas las credenciales que pudieron haber sido expuestas.
✔ Revisar logs y eliminar accesos sospechosos.
✔ Seguir las recomendaciones de seguridad de GitHub Actions:
– Usar commit SHA en lugar de tags mutables.
– Restringir acceso a archivos sensibles.
✔ Actualizar y reforzar la seguridad en los flujos de trabajo de GitHub Actions.
Aún quedan dudas sobre si el ataque a Reviewdog llevó a otras filtraciones y si algunos de los 218 repositorios comprometidos también fueron explotados más allá de la fuga de credenciales.