GitHub Action 침해로 23,000개 이상의 리포지토리 CI/CD 보안이 위험에 처하다

출처: https://thehackernews.com/2025/03/github-action-compromise-puts-cicd.html

 

GitHub Action 침해로 23,000개 이상의 리포지토리 CI/CD 보안이 위험에 처하다

 

사이버 보안 연구원들은 GitHub Action인 tj-actions/changed-files가 지속적으로 CI/CD 워크플로우에서 사용되면서 보안 정보가 유출되었다는 사건에 주목하고 있다.

이번 사건의 대상은 tj-actions/changed-files가 사용된 23,000개 이상의 리포지토리로, 해당 액션은 파일과 디렉토리의 변경 사항을 추적하고 검색하는 데 활용된다.

이 공급망 침해 사건은 CVE 식별자 CVE-2025-30066이 부여되었으며, 2025년 3월 14일에 발생했다.

공격 과정에서 해커들은 액션 코드를 수정하고, 다수의 태그 버전을 소급 업데이트하여 악성 커밋을 참조하도록 만들었다. 이 침해된 액션은 GitHub Action 빌드 로그에 CI/CD 시크릿을 유출하는 역할을 한다.

결과적으로, 공개된 워크플로우 로그는 액션이 실행 중일 때 비인가 민감 정보가 유출될 수 있음을 보여준다. 이 시크릿에는 AWS 액세스 키, GitHub PAT, npm 토큰, 개인 RSA 키 등이 포함되어 있으나, 유출된 정보가 공격자가 제어하는 인프라로 이동했다는 증거는 없다.

특히, 악성 삽입 코드는 runner 워커 프로세스의 CI/CD 시크릿을 유출하는 파이썬 스크립트를 GitHub Gist에서 실행하도록 설계되었으며, 이는 확인되지 않은 소스 코드 커밋에서 비롯되었다. 이후 GitHub Gist는 셧다운 상태에 들어갔다.

tj-actions/changed-files는 조직의 소프트웨어 개발 파이프라인에서 사용되며, 개발자들이 코드 리뷰 후 보통 메인 브랜치에 병합한 코드를 기반으로 파이프라인을 통해 빌드 및 배포를 진행하는 과정에서 활용된다. 이 액션은 커밋, 브랜치, PR 간에 파일이 추가, 수정, 삭제된 내역을 추적할 수 있도록 해준다.

해커들은 액션 코드를 수정하고 악성 커밋을 참조하기 위해 다수의 태그 버전을 소급 업데이트했으며, 이로 인해 수천 개의 CI 파이프라인에 영향을 미치면서 CI/CD 시크릿을 유출하는 악성 파이썬 스크립트를 실행하게 되었다.

이번 tj-actions/changed-files 침해 사건은 확산 중인 CI/CD 환경에서의 공급망 공격 위험을 다시 한번 부각시킨다. 악성 페이로드는 자동 스캐닝 도구의 탐지를 피하기 위해 정교하게 숨겨져 있었다.

프로젝트 소유자들은 익명의 해커들이 침해된 리포지토리에 접근 권한이 있는 @tj-actions-bot이 사용한 GitHub PAT을 해킹하려 시도했다고 전한다. 이에 따라 계정 비밀번호는 업데이트되었고, 인증 방식은 패스키 사용으로 업그레이드되었으며, 권한 수준도 최고 등급으로 재설정되었고, 침해된 PAT은 사용 중지되었다.

영향을 받은 개인 액세스 토큰은 사용 중지된 GitHub Action 시크릿에 저장되어 있으며, 재발 방지를 위해 모든 tj-actions 조직의 프로젝트에서는 더 이상 PAT 사용이 허용되지 않을 예정이다.

GitHub Action 사용자들은 최신 버전으로 업데이트할 것을 권고하며, 3월 14일~15일 사이에 실행된 워크플로우를 검토해 변경된 파일로 인한 예기치 않은 결과가 없는지 확인해야 한다.

이번 보안 이슈는 처음이 아니다. 2024년 1월, tj-actions/changed-files와 tj-actions/branch-names에서 임의의 코드 실행을 허용하는 치명적 결함(CVE-2023-49291, CVSS 점수: 9.8)이 발견된 바 있다.

이번 사건을 통해 오픈소스 소프트웨어가 최종 사용자에게 전달되는 공급망 위험에 노출될 수 있음을 다시 한 번 실감하게 되었다.

2025년 3월 15일, 모든 버전의 tj-actions/changed-files Action이 공격을 받았다. 해시 핀(hash-pinned) 버전을 사용 중이던 고객들은 공격 시점에 업데이트하지 않았다면 영향을 받지 않을 것으로 보인다.

---

CI/CD

CI(Continuous Integration): 지속적인 통합

→ 코드 변경 사항이 정기적으로 빌드 및 테스트되어 공유 레포지토리에 통합되는 것

• 빠른 버그 확인 및 해결
• 소프트웨어 품질 개선
• 새로운 업데이트의 검증 및 릴리즈 시간 단축

CD(Continuous Delivery/Deployment): 지속적인 배포

→ 공유 리포지토리로 자동으로 릴리즈 & 프로덕션 레벨까지 자동으로 배포

• 빠른 시간 내에 고객에게 릴리즈 되는 것

---

• compromise: 침해
• retrieve: 검색하다
• retroactively: 소급하여
• siphon: 이동하다
• unverified: 확인되지 않은
• deploy: 배포
• revoked: 취소됨
• pave: 덮어쓰다
• susceptible: 느끼기 쉬운