主要观点：

• 正在调查 tj-actions/changed-files GitHub Action 的安全事件，已向用户发出警报并持续更新。
• 该 Action 已被篡改，会在构建日志中打印 CI/CD 机密，多个版本受影响，GitHub 已移除该 Action 并恢复其仓库。
• 提供了免费的安全替代 Action 及恢复步骤，包括使用 StepSecurity 维护的 Action、审查 Action 库存、检查工作流运行日志、轮换机密、固定 GitHub Actions 等。
• 向 GitHub 报告了问题并发布了 CVE，建议使用 Harden-Runner 进行实时安全监控。

关键信息：

• 事件始于 2025 年 3 月 14 日 9：00 AM（太平洋时间）/14 日 4：00 PM（协调世界时）。
• 超过 23,000 个仓库使用该 Action，恶意代码可通过特定 Python 脚本获取机密。
• 可通过 Harden-Runner 重现攻击，提供了测试工作流示例。
• 不同时间点有关于事件的更新，如多个公共仓库构建日志泄露机密等。

重要细节：

• 攻击者通过 compromised a Personal Access Token 控制了 @tj-actions-bot 账户来修改 Action 代码并更新版本标签。
• 恶意代码内容及相关截图展示。
• 不同用户在事件中的发现及行动，如 [@stevebeattie] 通知的 compromised tags 等。
• 对于 StepSecurity 企业客户和非企业客户的不同恢复步骤及相关界面展示。