供應鏈攻擊雖然發生的次數不多但每次發生都可能造成非常嚴重的影響，例如現在GitHub Actions 平台出現知名的Actions 被投毒，超過23,000 家企業受到此次供應鏈攻擊的影響。

Actions 是GitHub 推出的精簡軟體平台，透過Actions 可以實現CI/CD 自動化(持續整合和持續部署/ 持續交付)，開發者可以編寫多個Actions 供其他開發者或企業使用。

2025 年3 月15 日非常流行的tj-actions 遭到駭客攻擊，駭客修改tj-actions/changed-files 中的原始程式碼，這次更新修改開發者原本用於引用特定程式碼版本的標籤。

這些標籤正常情況下會指向某個公開可用的文件，該文件會複製運行其伺服器的內部記憶體和搜尋憑證並將其寫入到日誌中，在標籤被修改後眾多運行tj-actions/changed-files 的公開儲存庫在日誌中暴露敏感憑證。

開源安全專家HD Moore 表示此操作的可怕之處在於Actions 通常可以修改儲存庫的原始程式碼並存取與工作流程相關的任何秘密變數例如憑證，Actions 最偏執的用途是審核所有原始程式碼，然後將特定的提交雜湊而不是標籤固定到工作流程中。

很遺憾許多使用Actions 的開發者和企業沒有遵循最佳安全實踐，使用tj-actions 的存儲庫信任標籤而不是經過審查版本的哈希值，最終運行內存抓取器/ 記錄器，這種攻擊對任何類型的存儲庫都構成潛在威脅。

tj-actions 維護者透露，攻擊者以某種方式竊取@tj-actions-bot 用來獲取被盜存儲庫訪問權限的憑證，這名維護者表示目前還不清楚黑客是怎麼盜取憑證的，為了增加安全性，這個機器人使用的密碼已經修改同時增加了密鑰作為多因素認證保護。

GitHub 表示平臺本身沒有出現安全漏洞或受到此攻擊的影響，但出於謹慎考慮在受到報告後立即刪除了tj-actions 並暫停開發者帳戶，在確保所有惡意變更都恢復原樣並增強帳戶保護措施後，tj-actions 專案和開發者帳戶已恢復。

最早發現這次攻擊的是網路安全公司StepSecurity，該公司透過偵測網路流量中出現的異常端點發現，駭客實施攻擊行為的發生時間是3 月16 日。

網路安全公司Wiz 提供的初步分析顯示有數十名tj-actions 用戶在此次攻擊中受到實際傷害，這些用戶多數是企業用戶，暴露的資料包括AWS 存取金鑰、GitHub 存取權杖、npm 令牌、私有的RSA 私鑰等。

受影響的這些企業必須將各種帳戶和密鑰全部修改，總得來說是個非常麻煩的事情，還需要檢查這些密鑰對應帳戶的日誌，看看是否出現未經授權的訪問等。