Un reciente ataque a la cadena de suministro ha puesto en jaque la seguridad de varios proyectos en GitHub Actions. La violación de la acción tj-actions/changed-files afectó solo a una pequeña parte de los 23,000 proyectos que la utilizan, pero el impacto no es menor: se estima que al menos 218 repositorios expusieron secretos confidenciales como claves API y tokens de acceso.
Aunque el número de proyectos comprometidos puede parecer reducido, algunos de esos repositorios son altamente populares, lo que aumenta el riesgo de que se conviertan en puntos de partida para futuros ataques más amplios. Si eres propietario de un repositorio afectado, es crucial que tomes medidas inmediatas para rotar tus secretos antes de que los atacantes puedan aprovechar esta filtración.
Ataque a la cadena de suministro en GitHub: Lo que debes saber
El pasado 14 de marzo de 2025, atacantes lograron comprometer la acción de GitHub tj-actions/changed-files, añadiendo una confirmación maliciosa diseñada para robar secretos del entorno CI/CD directamente desde el proceso Runner Worker y enviarlos al repositorio.
Lo preocupante es que, si los registros del flujo de trabajo estaban configurados como públicos, cualquier persona podría haber accedido a esos secretos y leído información confidencial.
Tras una investigación, se descubrió que este ataque probablemente se originó a partir de otra brecha en la acción de GitHub reviewdog/action-setup@v1, que pudo haber expuesto un token de acceso personal (PAT). Este token, utilizado por un bot con privilegios para modificar la acción tj-actions/changed-files, parece haber sido la clave para que los atacantes lograran infiltrarse.
Un pequeño porcentaje comprometido, pero con alto riesgo
Aunque el impacto directo del ataque fue limitado, las consecuencias no dejan de ser preocupantes. Durante el período en que la acción estuvo comprometida (entre el 14 de marzo a las 16:00 UTC y el 15 de marzo a las 14:00 UTC) aproximadamente 5,416 repositorios de 4,072 organizaciones hicieron referencia a la acción afectada.
Algunos de esos proyectos cuentan con una gran cantidad de seguidores, con más de 350,000 estrellas y 63,000 bifurcaciones, lo que aumenta significativamente el riesgo de que esta brecha pueda tener un efecto en cadena que impacte a muchos más usuarios.
Este incidente es una clara advertencia de que, incluso con una exposición aparentemente reducida, las amenazas a la cadena de suministro pueden escalar rápidamente. Si crees que tu repositorio pudo haber estado expuesto, es fundamental que revises tu configuración de seguridad y, sobre todo, que rotes tus secretos de inmediato para evitar posibles daños.
Repositorios con referencias a la acción de GitHub violada (Fuente: Endor Labs)
De los 5,416 repositorios que usaron la acción comprometida en GitHub, solo 614 ejecutaron el flujo de trabajo afectado durante el tiempo en que estuvo comprometido. Además, muchos de esos repositorios lo hicieron varias veces.
De esos 614, se confirmó que 218 imprimieron secretos en los registros de la consola, lo que representa un riesgo claro de exposición. El resto logró mantenerse protegido gracias a que siguieron buenas prácticas de seguridad que ayudaron a evitar que sus secretos quedaran expuestos.
Eso sí, es importante aclarar que el simple hecho de haber ejecutado la acción no significa automáticamente que se filtraron credenciales. Algunos proyectos siguieron la recomendación de referenciar un SHA de confirmación específico en lugar de una etiqueta mutable, lo que redujo significativamente el riesgo.
Además, hubo repositorios que ejecutaron el flujo de trabajo antes de que el atacante manipulara todas las etiquetas de versión, por lo que tampoco resultaron comprometidos.
En cuanto a los secretos expuestos, en la mayoría de los casos se trató de tokens de acceso de instalación de GitHub, que solo son válidos por 24 horas, lo que limitó el tiempo que los atacantes tuvieron para aprovecharlos.
Sin embargo, hubo casos más graves donde se filtraron credenciales de DockerHub, npm y AWS, lo que representa un riesgo de seguridad mucho mayor. Estos secretos, si no se rotan rápidamente, pueden abrir la puerta a ataques más amplios y dañinos.
Conoce más sobre: Seguridad en la Cadena de Suministro con Wazuh
Secretos filtrados del ataque
Aún no está del todo claro si la brecha inicial en Reviewdog afectó a otros proyectos además de `tj-actions/changed-files`, o si alguno de los 218 repositorios que expusieron secretos también terminó siendo comprometido de alguna otra forma.
Si usas GitHub Actions, es muy recomendable que refuerces la seguridad de tus flujos de trabajo. Echa un vistazo a las recomendaciones de seguridad de GitHub y asegúrate de restringir el acceso a archivos y carpetas que puedan contener información sensible. Más vale prevenir que lamentar.
