tj-actions のインシデントレポートを読んだ

tj-actions のインシデントレポートを読んだ
DRANK

先日起きた tj-actions や reviewdog のセキュリティインシデントのレポートを読みました。 repository 及び tag は全て修正され、盗まれた Personal Access Token (PAT) も revoke されているはずです。攻撃の流れtj-actions/changed-files が侵害されるまでに複数の PAT の流出及びリポジトリの侵害が連鎖的に起こっています。つまり tj-actions/changed-files が直接的にいきなり侵害されたというより、複数のリポジトリをいわば踏み台のようにして侵害したという感じでしょうか。攻撃者は PAT が盗まれたりした GitHub Account とは別に複数の GitHub Account を使って攻撃を行っています。ちなみに今回見つかった悪意のあるユーザーは全て削除されているようです(それはそう)。まぁインシデントと同時期にアカウントが削除されているので調査で怪しいアカウントとして目をつけられたというのもあるでしょう。spotbugs/sonar-findbugs の pull_request_target workflow が悪用され、 secrets に登録していた PAT が流出PAT を悪用して spotbugs/spotbugs に悪意のあるユーザー jurkaofavak を招待jurkaofavak が spotbugs/spotbugs にブランチ hewrkbwkyk を一瞬作成し…

zenn.dev 5 days ago

Open page

https://zenn.dev/shunsuke_suzuki/articles/tj-actions-incident-2025