23,000개+ 저장소 타격한 tj-actions 공급망 공격 및 대응 전략

🚨 تنبيه أمني عاجل - ثغرة حرجة في tj-actions/changed-files

🎖️المحارب الرقمي🎖️2026년 4월 28일6분intermediate

AI 요약

Context

GitHub Action으로 널리 사용되는 tj-actions/changed-files 라이브러리의 코드 변조를 통한 Supply Chain Attack 발생. GitHub Runner의 메모리에 접근하여 Secrets를 추출하고 외부로 유출하는 악성 스크립트가 삽입된 구조적 취약점 노출.

Technical Solution

GitHub Runner 메모리 덤프 및 런타임 Secrets 추출 로직을 통한 데이터 탈취 프로세스 차단
Mutable한 Tag 기반 버전 참조 방식에서 Immutable한 Commit SHA Pinning 구조로 전환하여 코드 변조 방지
GitHub API를 활용한 취약 기간(2025-03-14~15) 내 Workflow Run ID 식별 및 노출 로그의 강제 삭제 수행
Environment Protection Rules 및 Manual Approval 도입을 통한 민감한 Secrets의 런타임 접근 제어 강화
정기적인 Dependency Audit 자동화 워크플로우 구축을 통한 취약 버전의 조기 발견 및 차단 체계 마련

실천 포인트

1. 모든 Third-party Action의 버전을 Tag(v45)가 아닌 Commit SHA로 변경했는지 확인

2. 유출 가능성이 있는 GitHub Token, AWS Key, DB Password 등 모든 Secrets의 즉시 Rotate 수행

3. GitHub API를 사용하여 사고 발생 기간 내 생성된 Workflow Artifacts 및 Logs 전수 조사

4. Production 환경의 Secrets 접근 시 Approval 절차가 포함된 Environment 설정 적용

태그

#Supply Chain Attack #DevSecOps #Secrets Management #SHA Pinning #GitHub Actions

원문 읽기