GitHub PAT漏洩:攻撃チェーンの拡大
2025-04-15
Wiz社のセキュリティ研究者らは、reviewdog/action-setup@v1の脆弱性を攻撃者が悪用し、GitHubパーソナルアクセストークン(PAT)を盗み出したことを発見しました。これは単発の事件ではなく、reviewdog/action-shellcheckなど、同じ開発者が管理する他のGitHub Actionsも影響を受けている可能性があります。GitHubとreviewdogのメンテナは脆弱性を修正しましたが、Wiz社は、侵害されたActionsが引き続き使用され、シークレットがローテーションされない場合、「tj-actions/changed-files」が悪用されて攻撃が繰り返される可能性があると警告しています。
テクノロジー
パーソナルアクセストークン