StepSecurityは、2025年3月12日にGitHub Actions「tj-actions/changed-files」が悪意ある改ざんを受けたことを発見し、CVE-2025-30066として報告されました。攻撃者はNode.js関数を用いてbase64でエンコードされたPythonコードをダウンロードし、GitHub Runnerのメモリをスキャンして認証情報を取得する仕組みです。被害は公開リポジトリで特に深刻ですが、プライベートリポジトリも影響を受ける可能性があります。  

検出と軽減にはSysdig SecureとFalcoが有効です。Sysdigは「Dump Memory using /proc/ Filesystem」ルールでメモリスキャンを検出し、Falcoはbase64エンコードされたペイロードのデコードをリアルタイムで検出できます。また、Falco Actionsを使用することでGitHub Actionsのワークフロー監視を強化可能です。  

被害を防ぐため、影響を受けるリポジトリの特定とシークレットのローテーションが急務です。GitHubは該当Actionsを削除しており、ユーザーは代替手段の導入を検討する必要があります。