23,000の組織で使用されているGitHubツールが、サプライチェーン攻撃により機密性の高い認証情報を漏洩しました。 A GitHub tool used by 23,000 orgs leaked sensitive credentials due to a supply chain attack.

23,000以上の組織で使用されているGitHubの「tj-actions/changed-files」ツールに対するサプライチェーン攻撃により、攻撃者によって挿入された悪意のあるコードにより、APIキーやアクセストークンなどの機密情報が漏洩しました。 A supply chain attack on GitHub's "tj-actions/changed-files" tool, used by over 23,000 organizations, exposed sensitive information like API keys and access tokens due to malicious code injected by attackers. GitHubは悪意のあるコードを削除し、ツールを復元しましたが、専門家は、リスクを軽減するために、ユーザーがリポジトリを確認して更新し、侵害されたシークレットをローテーションすることを推奨しています。 Though GitHub removed the malicious code and restored the tool, experts recommend users review and update their repositories and rotate any compromised secrets to mitigate risks.