Vazamento de PAT do GitHub: Ampliação da Cadeia de Ataques
2025-04-15
Pesquisadores de segurança da Wiz descobriram que atacantes exploraram uma vulnerabilidade em reviewdog/action-setup@v1 para roubar um Token de Acesso Pessoal (PAT) do GitHub, levando a um incidente de segurança maior. Este não foi um incidente isolado; várias outras ações do GitHub mantidas pelo mesmo desenvolvedor, incluindo reviewdog/action-shellcheck, podem ser afetadas. Embora os mantenedores do GitHub e do reviewdog tenham corrigido a vulnerabilidade, a Wiz alerta que, se ações comprometidas permanecerem em uso e os segredos não forem girados, os atacantes ainda poderão explorar "tj-actions/changed-files" para lançar um ataque repetido.