GitHub PAT-Leak: Angriffskette weitet sich aus
2025-04-15
Sicherheitsforscher von Wiz haben entdeckt, dass Angreifer eine Schwachstelle in reviewdog/action-setup@v1 ausgenutzt haben, um ein GitHub Personal Access Token (PAT) zu stehlen, was zu einem größeren Sicherheitsvorfall führte. Dies war kein isolierter Vorfall; mehrere andere GitHub Actions, die vom selben Entwickler gewartet werden, darunter reviewdog/action-shellcheck, könnten betroffen sein. Obwohl GitHub und reviewdog-Maintainer die Schwachstelle behoben haben, warnt Wiz davor, dass Angreifer "tj-actions/changed-files" weiterhin ausnutzen könnten, wenn kompromittierte Actions verwendet werden und Geheimnisse nicht rotiert werden.
Technologie
Personal Access Token