"Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториях"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториях" | +/– |  |
| Сообщение от opennews (?), 15-Мрт-25, 15:44 | ||
Выявлена подстановка вредоносного изменения в репозиторий проекта changed-files, развивающего обработчик к системе GitHub Actions, позволяющей автоматически запускать сценарии сборки и тестирования кодовых баз при срабатывании определённых событий, таких как поступление push-запроса, создание релизов, открытие/закрытие issue и открытие/закрытие pull-запросов. Обработчик changed-files использовался в 23 тысячах репозиториях, применяющих GitHub Actions в инфраструктуре непрерывной интеграции, для отслеживания изменения файлов и каталогов... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по времени | RSS] |
| 1. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –2 +/– | |
| Сообщение от нейм (?), 15-Мрт-25, 15:44 | ||
> nikitastupin | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 8. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –4 +/– | |
| Сообщение от Аноним (8), 15-Мрт-25, 16:19 | ||
Прошу прощения, уточните пожалуйста, а “ваш” это чей будет? Мексика, Канада, Дания… Еврозоюз? Какая-то из стран восточной Европы, граждани которой имею претензии к 🇺🇸 ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 10. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +5 +/– | |
| Сообщение от Анонем (?), 15-Мрт-25, 16:37 | ||
> Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 19. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Аноним (19), 15-Мрт-25, 19:08 | ||
Китаец Ni Kita Stu Pin. | ||
| Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору | ||
| ||
| 24. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Похожий (?), 15-Мрт-25, 19:50 | ||
На филиппинский похоже. Сравните, всемирно известный хит: Bakit Nga Ba Mahal Kita | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 2. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +1 +/– | |
| Сообщение от нах. (?), 15-Мрт-25, 15:56 | ||
Молодец, Никитос, надеюсь, товарищмаёр довольны и уже представили себя к госнаградам. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 4. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –1 +/– | |
| Сообщение от Аноним (8), 15-Мрт-25, 16:12 | ||
А в гитхаб профиле у него звание, адрес места “службы” , герб и прапор страны? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 15. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от bonifatium (?), 15-Мрт-25, 17:17 | ||
Никитос - просто автор дампилки памяти, которой воспользовался злоумышленник | ||
| Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору | ||
| ||
| 16. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Аноним (16), 15-Мрт-25, 17:26 | ||
А Никитоса к Статье 272 | ||
| Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору | ||
| ||
| 23. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Аноним (23), 15-Мрт-25, 19:44 | ||
Никтос-то тут причём? Я о нём слышал как минимум с 2018 года, легитимный ресёрчер. Вернее не совсем: на Huawei он работал. Ну раз ему так КНР мила - вот пусть туда на ПМЖ и едет. И о соц. "кредитном рейтинге" пусть обеспокоиться не забудет. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 3. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +1 +/– | |
| Сообщение от Tron is Whistling (?), 15-Мрт-25, 15:58 | ||
Лол, опять пострадали только те, кто тянул в рот всё самое неизвестное. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 5. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +3 +/– |  |
| Сообщение от freehck (ok), 15-Мрт-25, 16:13 | ||
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий, а в его форк (при прямом обращении через основной репозиторий в GitHub коммиты из форков остаются видимыми). | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 25. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Мимоним (?), 15-Мрт-25, 19:53 | ||
> GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 7. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +4 +/– | |
| Сообщение от Аноним (7), 15-Мрт-25, 16:15 | ||
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 9. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Аноним (8), 15-Мрт-25, 16:26 | ||
> Ничего себе! То есть человек может сделать форк моего проекта, закоммитить туда объект, а затем скачивать его "типа из моего проекта"? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 12. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –1 +/– |  |
| Сообщение от 12yoexpert (ok), 15-Мрт-25, 16:50 | ||
какому идиоту в принципе пришло в голову использовать js на сервере? электричество бесплатное? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 17. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Аноним (16), 15-Мрт-25, 17:33 | ||
Когда создавался GitHub (тот ещё первозданный, настоящий) ещё не модно было. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 18. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Аноним (18), 15-Мрт-25, 18:57 | ||
> Примечательно, что атакующий добился добавления вредоносного коммита почти во все git-тэги и релизы проекта changed-files, без отображения в git-логе коммитов в соответствующих ветках. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 20. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Аноним (19), 15-Мрт-25, 19:09 | ||
Твой Tails не может скачать русский язык? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 21. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –1 +/– | |
| Сообщение от Аноним (23), 15-Мрт-25, 19:21 | ||
Пофиг, third party (не от самого гитхаба и не от себя, любимого) Github Actions обычно по тегам гвоздями прибивают (это если не делать свой форк). Как раз от такого. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 22. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | |
| Сообщение от Аноним (23), 15-Мрт-25, 19:41 | ||
>\{"value":"[^"]*","isSecret":true\}' | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
