![]() |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториях" | +/– | ![]() |
Сообщение от opennews (?), 15-Мрт-25, 15:44 | ||
Выявлена подстановка вредоносного изменения в репозиторий проекта changed-files, развивающего обработчик к системе GitHub Actions, позволяющей автоматически запускать сценарии сборки и тестирования кодовых баз при срабатывании определённых событий, таких как поступление push-запроса, создание релизов, открытие/закрытие issue и открытие/закрытие pull-запросов. Обработчик changed-files использовался в 23 тысячах репозиториях, применяющих GitHub Actions в инфраструктуре непрерывной интеграции, для отслеживания изменения файлов и каталогов... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –4 +/– | ![]() |
Сообщение от нейм (?), 15-Мрт-25, 15:44 | ||
> nikitastupin | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
8. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –9 +/– | ![]() |
Сообщение от Аноним (8), 15-Мрт-25, 16:19 | ||
Прошу прощения, уточните пожалуйста, а “ваш” это чей будет? Мексика, Канада, Дания… Еврозоюз? Какая-то из стран восточной Европы, граждани которой имею претензии к 🇺🇸 ? | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
10. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +7 +/– | ![]() |
Сообщение от Анонем (?), 15-Мрт-25, 16:37 | ||
> Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
19. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +2 +/– | ![]() |
Сообщение от Аноним (19), 15-Мрт-25, 19:08 | ||
Китаец Ni Kita Stu Pin. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
![]() | ||
24. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Похожий (?), 15-Мрт-25, 19:50 | ||
На филиппинский похоже. Сравните, всемирно известный хит: Bakit Nga Ba Mahal Kita | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
30. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от cheburnator9000 (ok), 16-Мрт-25, 02:26 | ||
Их имеется в виду часть граждан РФ сочувствующих кремлю. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
2. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +2 +/– | ![]() |
Сообщение от нах. (?), 15-Мрт-25, 15:56 | ||
Молодец, Никитос, надеюсь, товарищмаёр довольны и уже представили себя к госнаградам. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
4. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (8), 15-Мрт-25, 16:12 | ||
А в гитхаб профиле у него звание, адрес места “службы” , герб и прапор страны? | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
15. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от bonifatium (?), 15-Мрт-25, 17:17 | ||
Никитос - просто автор дампилки памяти, которой воспользовался злоумышленник | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
![]() | ||
16. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (16), 15-Мрт-25, 17:26 | ||
А Никитоса к Статье 272 | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
![]() | ||
23. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –2 +/– | ![]() |
Сообщение от Аноним (23), 15-Мрт-25, 19:44 | ||
Никтос-то тут причём? Я о нём слышал как минимум с 2018 года, легитимный ресёрчер. Вернее не совсем: на Huawei он работал. Ну раз ему так КНР мила - вот пусть туда на ПМЖ и едет. И о соц. "кредитном рейтинге" пусть обеспокоиться не забудет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
27. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –2 +/– | ![]() |
Сообщение от Аноним (27), 15-Мрт-25, 20:52 | ||
Вы видели Китайский Дэвушка? Прекрасен что фарфоровая кукла! | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +2 +/– | ![]() |
Сообщение от Tron is Whistling (?), 15-Мрт-25, 15:58 | ||
Лол, опять пострадали только те, кто тянул в рот всё самое неизвестное. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +5 +/– | ![]() |
Сообщение от freehck (ok), 15-Мрт-25, 16:13 | ||
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий, а в его форк (при прямом обращении через основной репозиторий в GitHub коммиты из форков остаются видимыми). | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
25. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Мимоним (?), 15-Мрт-25, 19:53 | ||
> GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
31. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (31), 16-Мрт-25, 02:39 | ||
Сама концепция гита - ущербна. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
33. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +4 +/– | ![]() |
Сообщение от Аноним (-), 16-Мрт-25, 11:53 | ||
> А я хотел им тупо на ошибку указать в одном месте. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
38. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от нах. (?), 16-Мрт-25, 13:55 | ||
> А секрет прост: время разработчиков не резиновое. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
40. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (40), 16-Мрт-25, 14:08 | ||
> нет, это проблема в их софте. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
41. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +1 +/– | ![]() |
Сообщение от Аноним (41), 16-Мрт-25, 15:57 | ||
> а мое - резиновое? Напоминаю - там человек ошибку нашел. Не свою. | ||
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору |
![]() | ||
47. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от пох. (?), 17-Мрт-25, 00:18 | ||
> Как ты понимаешь, явные баги долбавшие вот именно разработчиков, | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +6 +/– | ![]() |
Сообщение от Аноним (7), 15-Мрт-25, 16:15 | ||
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
34. Скрыто модератором | –2 +/– | ![]() |
Сообщение от Аноним (31), 16-Мрт-25, 13:44 | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
42. Скрыто модератором | +/– | ![]() |
Сообщение от Аноним (42), 16-Мрт-25, 16:04 | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
39. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –1 +/– | ![]() |
Сообщение от нах. (?), 16-Мрт-25, 13:57 | ||
да-да, это ж они написали р-опую vcs в которой подмена истории не катастрофа с записью во все логи, а рутинная операция. Ой, нет. Ее б-жок с пальцем наляпал задней левой ногой. | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
![]() | ||
43. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (42), 16-Мрт-25, 16:07 | ||
> да-да, это ж они написали р-опую vcs в которой подмена истории не | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
46. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от нах. (?), 16-Мрт-25, 20:28 | ||
> В этой DVCS самой по себе всего вон того - вообще нет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (8), 15-Мрт-25, 16:26 | ||
> Ничего себе! То есть человек может сделать форк моего проекта, закоммитить туда объект, а затем скачивать его "типа из моего проекта"? | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от 12yoexpert (ok), 15-Мрт-25, 16:50 | ||
какому идиоту в принципе пришло в голову использовать js на сервере? электричество бесплатное? | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
17. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (16), 15-Мрт-25, 17:33 | ||
Когда создавался GitHub (тот ещё первозданный, настоящий) ещё не модно было. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
35. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (31), 16-Мрт-25, 13:47 | ||
Хочешь подскажу одну завирусованную помойку с js на стороне сервера? (SJedoN) | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
21. "Компрометация GitHub Actions-обработчика changed-files, прим..." | –1 +/– | ![]() |
Сообщение от Аноним (23), 15-Мрт-25, 19:21 | ||
Пофиг, third party (не от самого гитхаба и не от себя, любимого) Github Actions обычно по тегам гвоздями прибивают (это если не делать свой форк). Как раз от такого. | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
26. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (26), 15-Мрт-25, 20:17 | ||
Тэги перебиваются на раз-два, git push —tags —force | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
36. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (31), 16-Мрт-25, 13:47 | ||
Нет тегов - нет уязвимости! | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (23), 15-Мрт-25, 19:41 | ||
>\{"value":"[^"]*","isSecret":true\}' | ||
Ответить | Правка | Наверх | Cообщить модератору |
![]() | ||
37. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (31), 16-Мрт-25, 13:49 | ||
Как уже сказали чуть выше - там погромист особо "одаренный". | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Компрометация GitHub Actions-обработчика changed-files, прим..." | +/– | ![]() |
Сообщение от Аноним (45), 16-Мрт-25, 20:02 | ||
Извините, но я не понял вот эту часть | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |