L’agence américaine CISA a inscrit CVE-2025-30066 dans son catalogue de vulnérabilités exploitées, révélant une attaque par compromission de supply chain ciblant GitHub Actions. La faille dans tj-actions/changed-files permet aux attaquants d’exfiltrer des secrets sensibles comme des clés AWS et des tokens GitHub. L’origine du problème provient de reviewdog/action-setup@v1, soulignant une attaque en cascade sur la chaîne d’approvisionnement logicielle. Les utilisateurs doivent impérativement mettre à jour tj-actions/changed-files en version 46.0.1 avant le 4 avril 2025.
Analyse de nos experts :
Cette attaque confirme que la sécurité CI/CD est un maillon critique de la cybersécurité. Les dépendances open-source restent une porte d’entrée privilégiée, et les attaquants exploitent les tokens d’accès compromis (PATs) pour insérer du code malveillant.
Le problème ? Ces compromissions passent souvent inaperçues. La seule solution viable repose sur le verrouillage des dépendances à des commits précis, la surveillance continue de l’intégrité du code et des politiques de moindre privilège.
Lisez l’article complet ici.
