log-2025/03

2025/03/16 GitHub Actions - tj-actions 問題

関連

• Multiple tags in this action are compromised
• [BUG] Pretty sure this repo got hacked and if you use this it will send your secrets to a hacker #2464

Sending secrets to a GitHub gist.

まとめ

https://x.com/szkdash/status/1901040066996346891

tj-actions 問題解決されたらしい
- 悪意のあるコミットの削除
- リポジトリの監査とクリーンアップ
- タグ保護の実装
- GitHub による復元
推奨事項
- 最新バージョンに更新
- シークレットとログを確認 (シークレットをローテーション)
- 依存関係を特定のコミット SHA固定

https://x.com/azu_re/status/1900812083517943930

GitHubと連携して元に戻したとのこと。
- 原因: tj-actions-botのPATが侵害されて利用された
- 対策: unverified commitsをタグにできなくするProtection Rule設定、Passkeyの設定
- 推奨: 最新にアップデート、ログの確認、使うときにSHAでPINする

その他

問題のコードは、linux OSならgistにuploadしたスクリプトを実行し、screts情報をdumpしてbase64エンコードしてログに出力するようにしていた