Popular:
Virtualization DNS security formal verification reachability analysis compiler errors macro conflict web extension development framework Bitmap Graphics API inconsistencies All Tags

GitHub PAT 유출: 공격 체인 확대

2025-04-15
GitHub PAT 유출: 공격 체인 확대

Wiz의 보안 연구원들은 공격자들이 reviewdog/action-setup@v1의 취약성을 악용하여 GitHub 개인 접근 토큰(PAT)을 훔쳤다는 사실을 발견했습니다. 이는 단발성 사건이 아니며, reviewdog/action-shellcheck 등 동일한 개발자가 관리하는 다른 GitHub Actions도 영향을 받았을 가능성이 있습니다. GitHub 및 reviewdog 관리자는 취약성을 수정했지만, Wiz는 손상된 Actions가 계속 사용되고 비밀이 회전되지 않으면 공격자가 "tj-actions/changed-files"를 악용하여 공격을 반복할 수 있다고 경고합니다.

(www.infoworld.com)
기술 개인 접근 토큰