تسريب PAT من جيثب: اتساع سلسلة الهجوم
2025-04-15
اكتشف باحثون أمنيون في Wiz أن المتسللين استغلوا ثغرة أمنية في reviewdog/action-setup@v1 لسرقة رمز الوصول الشخصي (PAT) من جيثب، مما أدى إلى حادث أمني أوسع نطاقًا. لم يكن هذا حادثًا معزولًا؛ فقد تتأثر العديد من إجراءات جيثب الأخرى التي يديرها نفس المطور، بما في ذلك reviewdog/action-shellcheck. على الرغم من قيام مديري جيثب و reviewdog بإصلاح الثغرة الأمنية، إلا أن Wiz يحذر من أن المتسللين قد لا يزال بإمكانهم استغلال "tj-actions/changed-files" لإطلاق هجوم متكرر إذا ظلت الإجراءات المصابة قيد الاستخدام ولم يتم تدوير الأسرار.
التكنولوجيا
رمز الوصول الشخصي