Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

GitHubアクション「reviewdog」で改ざん被害 - SC攻撃の起点に

コードホスティングサービスへレビューコメントを自動投稿するGitHubアクション「reviewdog」のソースリポジトリが一時侵害されたことがわかった。サプライチェーン攻撃により、暗号資産(仮想通貨)取引所の開発環境を狙ったものと見られる。

「reviewdog」のリポジトリ内にあるGitHubアクション「action-setup」の「v1」において、協定世界時2025年3月11日18時42分から20時31分まで悪意あるコードが追加された。実行するとリポジトリ内のシークレット情報がワークフローログ上に漏洩する状態だった。

侵害されたGitHubアクションを参照する「action-shellcheck」「action-composite-template」「action-staticcheck」「action-ast-grep」「action-typos」などの他GitHubアクションについても同様の影響を受ける。

攻撃者は、「reviewdog」のコントリビューターにおける「Personal Access Token(PAT)」を不正に取得し、侵害したものと見られている。

今回の問題は「CVE-2025-30154」が採番されており、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」、重要度は「高(High)」とレーティングされている。

(Security NEXT - 2025/03/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「Netwrix Directory Manager」に深刻な脆弱性 - 早急に対応を
ソニー製複数IPカメラに脆弱性 - 初期パスワードの変更を
「Ivanti EPMM」にOSS起因の脆弱性、すでに悪用も - 国内で機器稼働
SonicWall「SMA100」狙う攻撃の増加に注意 - 国内でも対象機器が動作か
Arista「CloudVision」に管理者権限を取得される脆弱性
「FortiOS」の認証回避脆弱性、攻撃継続中 - 国内でも被害
「Active! mail」脆弱性の侵害確認方法、引き続き調査
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Active! mail」に深刻な脆弱性、すでに悪用も - 侵害確認方法を調査中