tj-actions/changed-files项目安全事件分析与应对措施

2025年3月15日，GitHub上流行的tj-actions/changed-files项目遭遇了一次严重的安全事件。该事件涉及恶意代码被注入到项目代码库中，可能危及使用该项目的数千个开源仓库的安全。本文将详细分析事件经过、技术原理及应对方案。

事件概述

在项目v45.0.5至v45.0.9版本中，攻击者通过注入恶意代码片段，试图窃取GitHub Actions工作流中的敏感信息。这段代码被精心设计为在Linux环境下执行，会提取工作流中的所有标记为"isSecret":true的敏感数据，包括GitHub令牌等凭证信息。

技术分析

恶意代码的核心是一个经过base64编码的bash脚本，解码后显示其执行流程如下：

1. 首先检查操作系统是否为Linux
2. 下载并执行一个Python内存转储脚本
3. 提取工作流中所有标记为秘密的变量
4. 对这些数据进行双重base64编码
5. 将结果输出到工作流日志中

值得注意的是，攻击者采用了"日志泄露"而非直接外传的方式，这意味着：

• 对于公开仓库，攻击者可以轻松扫描日志获取敏感信息
• 对于私有仓库，理论上风险较低，但存在内部人员滥用可能

攻击途径溯源

根据项目维护者的调查，攻击是通过一个名为tj-actions-bot的账户的PAT(个人访问令牌)实现的。GitHub安全团队确认该令牌被泄露，但无法确定具体泄露途径。这种攻击方式凸显了传统PAT令牌的安全隐患。

应对措施

项目团队采取了多项补救措施：

1. 代码修复：

   • 彻底移除所有恶意提交
   • 回滚受影响版本(v45.0.5至v45.0.9)
   • 确保所有标签指向安全提交

2. 安全加固：

   • 更新tj-actions-bot账户密码
   • 启用passkey认证
   • 实施最小权限原则
   • 启用提交签名验证
   • 设置标签保护规则

3. 用户建议：

   • 立即升级到修复后的版本
   • 检查是否使用过受影响版本
   • 轮换所有可能暴露的凭证
   • 审查工作流日志是否有异常输出
   • 考虑使用commit SHA而非标签引用

经验教训

此次事件为开源社区提供了宝贵的安全经验：

1. 依赖管理：即使是知名项目也可能成为攻击目标，凸显了依赖项安全审计的重要性。

2. 凭证管理：传统PAT令牌存在泄露风险，应考虑更安全的替代方案如OIDC等。

3. 防御深度：多因素认证、最小权限、签名验证等防御措施缺一不可。

4. 应急响应：快速识别、透明沟通和彻底修复是处理安全事件的关键。

结语

tj-actions/changed-files事件再次提醒我们开源供应链安全的重要性。作为用户，我们应当定期审查项目依赖，监控安全公告；作为维护者，则需要持续加强项目安全防护。只有社区共同努力，才能构建更安全的开源生态。