GitHub 个人访问令牌泄露事件:攻击链条扩大
2025-04-15
安全研究公司Wiz发现,攻击者利用reviewdog/action-setup@v1的漏洞窃取了GitHub个人访问令牌,引发了一系列安全事件。此次攻击并非孤立事件,还可能波及其他由同一开发者维护的多个GitHub Actions,包括reviewdog/action-shellcheck等。虽然GitHub和reviewdog维护者已修复漏洞,但Wiz警告称,如果仍使用受影响的Actions且未及时轮换密钥,攻击者仍可能再次利用“tj-actions/changed-files”发起攻击。
科技
个人访问令牌