比推消息,慢雾余弦在 X 平台发文称,利用 GitHub Actions CI/CD 机制供应链攻击 Coinbase,所幸没有继续成功,否则下一个被爆的安全事件就是针对 Coinbase 了。在 GitHub 上的供应链攻击路径:reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit ->窃取 GitHub Personal Access Token(PAT)、云服务有关密钥等。余弦建议,如果企业用到 reviewdog 或 tj-actions,应该进行自查。
免责声明:投资有风险,本文并非投资建议,以上内容不应被视为任何金融产品的购买或出售要约、建议或邀请,作者或其他用户的任何相关讨论、评论或帖子也不应被视为此类内容。本文仅供一般参考,不考虑您的个人投资目标、财务状况或需求。TTM对信息的准确性和完整性不承担任何责任或保证,投资者应自行研究并在投资前寻求专业建议。