GitHubアクション「reviewdog」で改ざん被害 - SC攻撃の起点に

コードホスティングサービスへレビューコメントを自動投稿するGitHubアクション「reviewdog」のソースリポジトリが一時侵害されたことがわかった。サプライチェーン攻撃により、暗号資産（仮想通貨）取引所の開発環境を狙ったものと見られる。

「reviewdog」のリポジトリ内にあるGitHubアクション「action-setup」の「v1」において、協定世界時2025年3月11日18時42分から20時31分まで悪意あるコードが追加された。実行するとリポジトリ内のシークレット情報がワークフローログ上に漏洩する状態だった。

侵害されたGitHubアクションを参照する「action-shellcheck」「action-composite-template」「action-staticcheck」「action-ast-grep」「action-typos」などの他GitHubアクションについても同様の影響を受ける。

攻撃者は、「reviewdog」のコントリビューターにおける「Personal Access Token（PAT）」を不正に取得し、侵害したものと見られている。

今回の問題は「CVE-2025-30154」が採番されており、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」、重要度は「高（High）」とレーティングされている。

（Security NEXT - 2025/03/25 ） ツイート

PR

関連記事

相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を
悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を
Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要
米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
金融向けカード発行システム「Entrust IFI」に深刻な脆弱性
Fortinet製IP電話「FortiFone」に深刻な脆弱性 - アップデートが公開
「n8n」に今月2件目の「クリティカル」脆弱性 - 旧版に影響