供应链攻击+1,常用 GitHub Issues 自动化管理 Action actions-cool/issues-helper 被投毒

来源:Supply chain attack · Issue #230 · actions-cool/issues-helper

主要影响:使用了该 Action 的仓库将在下一次自动执行相关 workflow 时泄露仓库内本不可见的各类密钥,从而导致相关仓库也可能被进一步投毒。

可能涉及的项目:

看起来似乎是开发者账户权限被盗用。


更新:项目仓库已被 GitHub 暂时封禁,上述 issue 暂无法访问,已有一篇安全报告可作参考 actions-cool/issues-helper GitHub Action Compromised: All Tags Point to Imposter Commit That Exfiltrates CI/CD Credentials - StepSecurity

1 个赞

看来action固定版本/commmit很有必要
新版本至少得延迟几天再更新

还大都是vue生态。。。大概率国人下手?

主要是被盗用的那个开发者账户是国人,在阿里,所以这个项目国人和阿里用得比较多。

有没有说咋被盗的。。。

暂时还不清楚,没见到披露更多信息。

最近很多污染的都是Action环境啊? 我记得以前很多都是盗源码推送权限的。

上次bits密码管理器的那个也是?。还有源码没问题,编译出来就有问题的这种