121 подписчик

Камрады из Talos по косточкам разбирают, наверное, самую хайповую атаку на цепочку поставки 2025 года

ВчераВчера

~1 мин

Тогда, если кто забыл, был захвачен один из самых популярных GitHub Action: tj-actions/changed-files. Собственно, что случилось: код экшена был подменён и вместо того чтобы определять измененные в PR файлы, он начал искать в них всякого рода секреты и сливать наружу. А секретов там было, как несложно догадаться, хоть вагонами грузи. https://www.youtube.com/watch?v=-BCngzJC1Rc

Камрады из Talos по косточкам разбирают, наверное, самую хайповую атаку на цепочку поставки 2025 года. Тогда, если кто забыл, был захвачен один из самых популярных GitHub Action: tj-actions/changed-files.

Собственно, что случилось: код экшена был подменён и вместо того чтобы определять измененные в PR файлы, он начал искать в них всякого рода секреты и сливать наружу. А секретов там было, как несложно догадаться, хоть вагонами грузи.

https://www.youtube.com/watch?v=-BCngzJC1Rc