GitHub Actionの「tj-actions/changed-files」が侵害される脆弱性(CVE-2025-30066)

2025年3月14日、StepSecurity社はGitHub Actionで広く利用されている「tj-actions/changed-files」において、重大なセキュリティインシデントを確認しました。なおこのインシデントを追跡する為に脆弱性 CVE-2025-30066が登録されました。

2025年3月19日追記：GitHub Actionの「tj-actions/changed-files」の脆弱性がサプライチェーン攻撃に悪用される可能性(CVE-2025-30066)

対象のバージョン

バージョン1から45.0.7

インシデントの概要

StepSecurity社のセキュリティソリューション「Harden-Runner」による不正検知により、2025年3月14日9:00 AM（PT）/ 16:00（UTC）頃、不審なネットワーク通信が発覚。この調査で、攻撃者は「tj-actions/changed-files」のコードを改ざんし、CI/CD Secretsをビルドログに出力する不正コードを仕込みました。

その後、リポジトリ「tj-actions/changed-files」は削除され、侵害されたアクションによって実行されたスクリプトを保存していた GitHub gist も削除されました。

今のところ攻撃者の意図やグループの詳細は判明していません。

影響範囲

このActionは、23,000以上のリポジトリで利用されており、CI/CDのシークレット情報（APIキー、トークンなど）がGitHub Actionsのビルドログに記録され、漏洩のリスクが高まっています。

パブリックリポジトリでは、ビルドログが公開されているため、機密情報が外部に漏洩するリスクがあり、プライベートリポジトリであっても、内部の閲覧権限を持つ者による情報漏洩の可能性があります。

Security は侵害されたアクションstep-security/changed-files の安全な代替品を無料でリリースしました。同社では、ユーザーに「tj-actions/changed-files」のすべてのインスタンスをこの安全な代替品に置き換えることを強く推奨しています。

GitHubの対応状況

• 3月15日 14:00 UTC：GitHubは不正なActionを無効化し、リポジトリの利用を停止。
• 3月15日 22:00 UTC：リポジトリが復旧し、悪意あるコードは削除済み。
• 3月16日 06:00 UTC：CVE-2025-30066として公式に登録。