Una popular utilidad en la plataforma de integración y despliegue continuos (CI/CD) de GitHub Actions ha sido comprometida hace unos días con el fin de robar credenciales, algo que ha dejado expuestos a muchos equipos de desarrollo de apps que usan esta herramienda.
Se calcula que esta se utiliza en más de 23.000 repositorios de GitHub, afectando a miles de flujo de trabajo de CI, según un informe de Endor Labs.
El equipo de investigadores de StepSecurity ha descubierto que todas las versiones de la utilidad tj-actions/changed-files hasta la 45.0.7 habían sido modificadas por un actor malicioso el 14 de marzo.
Esta utilidad suele ayudar a los developers a detectar cambios en los archivos de un repositorio, pero un aviso de GitHub destaca que esta última modificación ejecuta un script malicioso en Python, permitiendo a atacantes remotos descubrir información sensible, como claves de API, tokens de acceso y contraseñas.
La vulnerabilidad ha sido denominada como CVE-2025-30066. GitHub eliminó el acceso a la herramienta el pasado 16 de marzo y la reemplazó por una versión parcheada.
Un problema que podría escalar mucho
Desde Endor Labs advierten, sin embargo, que cualquier repositorio público que cree paquetes o contenedores como parte de un flujo de trabajo de CI podría haberse visto afectado.
"Eso significa que potencialmente miles de paquetes de código abierto podrían haber sido comprometidos", advierten desde la compañía.
Endor Labs sospecha que el actor de amenazas no buscara credenciales en repositorios públicos, puesto que ya son accesibles para cualquiera. Lo que ve más probable es que el cibermalo "intentara comprometer la cadena de suministro de software de otras bibliotecas de código abierto, binararios y artefactos creados con esta herramienta".
“Podríamos tener paquetes infectados con malware que nadie ha detectado aún”, afirmó. “Podrían ser miles, cientos de miles o incluso millones… Realmente no sabemos cuál es el alcance real del daño en este momento. Lo sabremos en los próximos días", ha concluído el CTO de Enfor Labs, Dimitri Stiliadis, en una entrevista publicada hace unos días.