GitHubアクション「reviewdog」で改ざん被害 - SC攻撃の起点に

コードホスティングサービスへレビューコメントを自動投稿するGitHubアクション「reviewdog」のソースリポジトリが一時侵害されたことがわかった。サプライチェーン攻撃により、暗号資産（仮想通貨）取引所の開発環境を狙ったものと見られる。

「reviewdog」のリポジトリ内にあるGitHubアクション「action-setup」の「v1」において、協定世界時2025年3月11日18時42分から20時31分まで悪意あるコードが追加された。実行するとリポジトリ内のシークレット情報がワークフローログ上に漏洩する状態だった。

侵害されたGitHubアクションを参照する「action-shellcheck」「action-composite-template」「action-staticcheck」「action-ast-grep」「action-typos」などの他GitHubアクションについても同様の影響を受ける。

攻撃者は、「reviewdog」のコントリビューターにおける「Personal Access Token（PAT）」を不正に取得し、侵害したものと見られている。

今回の問題は「CVE-2025-30154」が採番されており、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」、重要度は「高（High）」とレーティングされている。

（Security NEXT - 2025/03/25 ） ツイート

PR

関連記事

Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
Cisco製品のゼロデイ脆弱性、国内スパム対策サービスで不正アクセス被害
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
CiscoやSonicWallのゼロデイ脆弱性悪用に注意喚起 - 米CISA
Ciscoのメールセキュリティ製品にゼロデイ攻撃 - 構成や侵害状況の確認を
AppleやGladinet製品の脆弱性悪用に注意喚起 - 米当局
Gitサーバ「Gogs」にゼロデイ脆弱性 - 広範囲の公開サーバに侵害痕跡
「React」脆弱性を狙う攻撃が急増、国内SOCで多数観測 - ラック
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
海外子会社の予約管理システムが侵害、個人情報流出 - tripla