Tout projet utilisant l’action tj-actions/changed-files de GitHub serait compromis depuis la semaine dernière, selon le spécialiste en cybersécurité StepSecurity. Or, plus de 23.000 dépôts GitHub utilisent actuellement le code du projet d’automatisation. Parmi les secrets de développement susceptibles de fuiter : des clés d’API, des mots de passe ou encore des jetons d’accès. Cette vulnérabilité élevée (8.6/10) a été baptisée CVE-2025-30066.
La motivation de l’attaque et l’identité des pirates restent inconnues mais l’équipe de tj-actions a révélé que la compromission s’était déroulée après l’intrusion d’un compte bot. Cette attaque aurait été menée à partir d’un jeton d’accès personnel lié au compte @tj-actions-bot. « A l’avenir, plus aucun jeton d’accès personnel ne sera utilisé pour les projets de l’organisation tj-actions afin d’éviter tout risque de récidive », prévient GitHub.
Les chercheurs de Wiz conseillent aux responsables de projets d’auditer leurs dépôts et de changer tous les secrets dans ceux qui utilisent tj-actions/changed-files. GitHub suggère que les projets qui utilisent des actions soient rattachés « à des hachages de livraisons spécifiques plutôt qu’à des étiquettes de version afin d’éviter des attaques similaires de la chaîne d’approvisionnement ».