Đang tải bảng tin…
StepSecurity00 bình luận4 phút đọc
Supply Chain Compromise: codfish/semantic-release-action Tags Hijacked to Steal OIDC Tokens and Propagate Backdoors
A supply chain attack compromised the codfish/semantic-release-action GitHub Action by force-pushing a malicious commit and redirecting seven version tags (v1.6.1 through v2.2.1) to point at it. Any workflow using these tags after June 24, 2026 at 15:39 UTC executed attacker-controlled code. The attack converted the action from Docker-based to a composite action, injecting two steps guarded with if: always() to ensure execution even on failure. The payload — a ~512 KB obfuscated JavaScript file run via Bun — steals GitHub OIDC tokens, harvests Personal Access Tokens, encrypts collected data with AES-128-GCM, and attempts to propagate backdoors into other accessible repositories. Bun was chosen specifically to bypass Node.js security tooling hooks. The C2 exfiltration endpoint is still being deobfuscated.
Nguồn: https://www.stepsecurity.io/blog/supply-chain-compromise-codfish-semantic-release-action. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đề xuất cho bạn
Vercel11 phútAI
Vercel Flags no longer requires SDK Keys for Vercel deployments
Vercel Flags giờ đây tự động xác thực thông qua OIDC tokens ngắn hạn mà không cần SDK Keys hay biến môi trường FLAGS cho các triển khai trên Vercel. Chỉ cần vercel link và vercel env pull là đủ cho phát triển local, trong khi các dự án cũ vẫn giữ nguyên yêu cầu SDK Keys cho các trường hợp đặc biệt.
Lập trình viên cần đọc bài này để hiểu cách tối ưu hóa quản lý tính năng động (flags) trong dự án Vercel mới nhất, giảm thiểu rủi ro về bảo mật khi sử dụng SDK Keys và khám phá giải pháp tự động hóa cho phát triển và triển khai.
