Fuite de PAT GitHub : Élargissement de la chaîne d’attaque
2025-04-15
Des chercheurs en sécurité de Wiz ont découvert que des attaquants ont exploité une vulnérabilité dans reviewdog/action-setup@v1 pour voler un jeton d’accès personnel (PAT) GitHub, entraînant un incident de sécurité plus large. Il ne s’agissait pas d’un incident isolé ; plusieurs autres actions GitHub maintenues par le même développeur, notamment reviewdog/action-shellcheck, pourraient être affectées. Bien que les mainteneurs de GitHub et de reviewdog aient corrigé la vulnérabilité, Wiz avertit que si des actions compromises restent utilisées et que les secrets ne sont pas renouvelés, les attaquants pourraient toujours exploiter "tj-actions/changed-files" pour lancer une attaque répétée.