GitHubのレビューコメント自動投稿サービス「reviewdog」のリポジトリが一時的に侵害されたことが確認されました。この攻撃はサプライチェーン攻撃によるもので、暗号資産取引所の開発環境を狙ったと考えられています。特に「action-setup」の「v1」バージョンに悪意のあるコードが追加され、その間にシークレット情報が漏洩する可能性がありました。攻撃者は「reviewdog」のコントリビューターの「Personal Access Token」を不正に取得したとされており、影響を受けた他のGitHubアクションもあります。この問題は「CVE-2025-30154」として記載されており、重要度は高いとされています。
Read more
GitHubアクション「reviewdog」がSC攻撃の原因に。
未分類
コメント