大企業は秘密を攻撃した後に攻撃の後に到達します

攻撃者がインターネットサプライチェーンへの最新の攻撃で、攻撃者がメンテナンスオファーアカウントへの不正アクセスを取得した後、23,000を超える組織が使用するオープンソースソフトウェア（大企業の一部）は、資格のコードによって脅かされました。

破損したパッケージであるTJ-actions/変更ファイルは、23,000を超える組織を使用するファイルのコレクションであるTJ-actionsの一部です。 TJ-actionsは、多くのGithubイベントの1つであり、オープンソース開発者で利用可能なソフトウェアを合理化するプラットフォームの形式です。アクションは、CI/CDと呼ばれるもの、継続的な統合の略語、継続的な展開（または継続的配信）の実装の主な手段です。

スケールのサーバーメモリをスクラッチします

金曜日以前に、「タグ」開発者を変更して特定のコードバージョンをリンクするために変更された不正なアップデートのすべてのTJ-actionsバージョン/変更されたファイルのソースコードを受信しました。ブランドは、それを実行し、ログインデータを検索し、プロトコルに書き込むノースメモリをコピーする公開されているファイルを指摘しています。その結果、多くの公的にアクセス可能なTJアクションリポジトリは、誰でも表示できるプロトコルで最も敏感な資格情報を示しました。

「イベントの幽霊のような部分は、使用するストレージのソースコードをしばしば変更し、ワークフローに関連付けられている秘密の変数にアクセスできることです」と、RuneroおよびOpen Resource Specialistの創設者兼CEOであるHD Moore氏は述べています。 「アクションの最良の使用法は、すべてのソースコードの監査であり、次にマークの代わりに…ワークフローですが、それは問題です。」