Les pirates exploitaient une action GitHub largement utilisée, exposant plus de 23 000 secrets de dépôts. Hackers exploited a widely-used GitHub Action, exposing over 23,000 repositories' secrets.

Les attaquants ont compromis une action populaire GitHub utilisée par plus de 23 000 dépôts, en injectant du code qui a exposé des secrets comme les clés API et les mots de passe dans les journaux de construction. Attackers compromised a popular GitHub Action used by over 23,000 repositories, injecting code that exposed secrets like API keys and passwords in build logs. Bien qu'il n'existe aucune preuve de vol externe, les propriétaires de projet sont invités à vérifier leurs dépôts et à faire pivoter les secrets compromis. Though no evidence of external theft exists, project owners are advised to audit their repositories and rotate compromised secrets. GitHub recommande des actions de pinning sur des hachages spécifiques pour prévenir des attaques similaires. GitHub recommends pinning Actions to specific commit hashes to prevent similar attacks.