Pesquisadores de segurança cibernética identificaram um ataque à ação popular do GitHub tj-actions/changed-files, utilizada em mais de 23.000 repositórios para rastrear alterações em arquivos. A vulnerabilidade, registrada como CVE-2025-30066 (CVSS 8.6), permitiu que invasores modificassem o código da ação e atualizassem versões antigas para apontar para um commit malicioso, resultando na exposição de segredos sensíveis em logs públicos de execução do GitHub Actions.

Dentre as credenciais comprometidas, estão chaves de acesso AWS, tokens do GitHub (PATs), tokens npm e chaves privadas RSA. Embora não haja evidências de que os dados tenham sido exfiltrados, o risco de exploração permanece alto. O ataque foi facilitado pelo comprometimento de um token de acesso pessoal (PAT) pertencente ao bot @tj-actions-bot, que tinha permissões elevadas no repositório afetado.

Para mitigar os danos, os mantenedores revogaram o token comprometido, fortaleceram a autenticação e reduziram as permissões do bot. O GitHub também removeu o código malicioso, e os usuários são aconselhados a atualizar para a versão 46.0.1 e revisar logs entre 14 e 15 de março para identificar execuções suspeitas. Esse não é o primeiro incidente envolvendo a ação. Em janeiro de 2024, outra falha grave (CVE-2023-49291) permitia execução arbitrária de código. O caso reforça os riscos da cadeia de suprimentos de software de código aberto, afetando milhares de desenvolvedores.