GitHub 高级供应链攻击导致23000多个仓库泄露

关键要点

• 23000多个 GitHub 仓库因 CVE-2025-30066 漏洞泄露了敏感信息。
• 攻击者操控 GitHub Action 代码，导致个人访问令牌和其他秘密信息暴露。
• 相关部门已实施新密码、密钥认证和最小权限原则以修复漏洞。

根据的报道，超过23000个 仓库的秘密信息被泄露，这一事件源于针对 GitHubAction tj-actions/changed-files 的高级供应链攻击，追踪编号为 CVE-2025-30066。

根据 StepSecurity 的报告，此攻击通过操控一个原本用于显示仓库内文件更改的动作代码，导致恶意提交反映出来，并暴露了 GitHub个人访问令牌（PAT）、亚马逊网络服务（AWS）访问密钥、私有 RSA 密钥、npm 令牌及其他敏感秘密。

为应对此次攻击，相关方采取了新的密码、密钥认证措施和最小权限原则，并撤销了受影响的个人访问令牌（PAT）。维护者表示：“为了防止再次发生，tj- actions 组织所有项目将不再使用 PAT。”并强调应尽快升级到版本 46.0.1 的 GitHub Action。

同时，Sysdig 将此次事件视为针对 CI/CD 环境的供应链攻击风险逐渐上升的标志。

可以利用以下表格总结此次事件关键信息：

相关链接

通过及时的措施和持续的关注，开发者社群希望能有效降低未来潜在的供应链攻击风险，确保代码仓库的安全性。