来源:Supply chain attack · Issue #230 · actions-cool/issues-helper
主要影响:使用了该 Action 的仓库将在下一次自动执行相关 workflow 时泄露仓库内本不可见的各类密钥,从而导致相关仓库也可能被进一步投毒。
可能涉及的项目:
看起来似乎是开发者账户权限被盗用。
更新:项目仓库已被 GitHub 暂时封禁,上述 issue 暂无法访问,已有一篇安全报告可作参考 actions-cool/issues-helper GitHub Action Compromised: All Tags Point to Imposter Commit That Exfiltrates CI/CD Credentials - StepSecurity
