Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

GitHubアクション「reviewdog」で改ざん被害 - SC攻撃の起点に

コードホスティングサービスへレビューコメントを自動投稿するGitHubアクション「reviewdog」のソースリポジトリが一時侵害されたことがわかった。サプライチェーン攻撃により、暗号資産(仮想通貨)取引所の開発環境を狙ったものと見られる。

「reviewdog」のリポジトリ内にあるGitHubアクション「action-setup」の「v1」において、協定世界時2025年3月11日18時42分から20時31分まで悪意あるコードが追加された。実行するとリポジトリ内のシークレット情報がワークフローログ上に漏洩する状態だった。

侵害されたGitHubアクションを参照する「action-shellcheck」「action-composite-template」「action-staticcheck」「action-ast-grep」「action-typos」などの他GitHubアクションについても同様の影響を受ける。

攻撃者は、「reviewdog」のコントリビューターにおける「Personal Access Token(PAT)」を不正に取得し、侵害したものと見られている。

今回の問題は「CVE-2025-30154」が採番されており、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」、重要度は「高(High)」とレーティングされている。

(Security NEXT - 2025/03/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

先週注目された記事(2026年6月21日〜2026年6月27日)
「FortiBleed」に国内組織の情報も - 影響調査など実施を
UbiquitiやLantronix製品の脆弱性悪用に注意喚起 - 米当局
KDDIのISP向けメールシステム侵害 - 提供先6社に影響
FWやVPNの認証情報を攻撃者が大量保有 - 「FortiBleed」に要警戒
「Cisco Catalyst SD-WAN Manager」に脆弱性 - 侵害有無の確認を
「LiteSpeed cPanel Plugin」に権限昇格の脆弱性 - すでに悪用も
5月下旬以降、「PeopleSoft」にゼロデイ攻撃 - 対策と侵害有無の調査を
Oracle「PeopleSoft」に深刻なRCE脆弱性 - ただちに対応を
Check Pointのレガシー構成VPNにゼロデイ脆弱性 - 5月初旬より悪用