Un outil GitHub utilisé par 23 000 organisations a divulgué des informations d’identification sensibles en raison d’une attaque de la chaîne d’approvisionnement. A GitHub tool used by 23,000 orgs leaked sensitive credentials due to a supply chain attack.

Une attaque de la chaîne d’approvisionnement sur l’outil « tj-actions/changed-files » de GitHub, utilisé par plus de 23 000 organisations, a exposé des informations sensibles telles que des clés API et des jetons d’accès en raison d’un code malveillant injecté par des attaquants. A supply chain attack on GitHub's "tj-actions/changed-files" tool, used by over 23,000 organizations, exposed sensitive information like API keys and access tokens due to malicious code injected by attackers. Bien que GitHub ait supprimé le code malveillant et restauré l’outil, les experts recommandent aux utilisateurs de revoir et de mettre à jour leurs dépôts et de faire tourner tous les secrets compromis pour atténuer les risques. Though GitHub removed the malicious code and restored the tool, experts recommend users review and update their repositories and rotate any compromised secrets to mitigate risks.