Radar des arnaques

Comment reconnaitre GitHub Action / chaîne d'approvisionnement CI CD — compromission de tj actions/changed files, mars 2025?

Publié le

En bref

Mars 2025 : l'action GitHub populaire tj actions/changed files (utilisée par plus de 23 000 dépôts) a été compromise ; du code malveillant a déversé des secrets CI/CD (jetons AWS, GCP, npm) dans les journaux publics des workflows. Exemples...

Comment ca fonctionne

Mars 2025 : l'action GitHub populaire tj actions/changed files (utilisée par plus de 23 000 dépôts) a été compromise ; du code malveillant a déversé des secrets CI/CD (jetons AWS, GCP, npm) dans les journaux publics des workflows. Exemples...

Signaux d'alerte

  • Pression urgente pour cliquer, payer ou partager des codes immediatement.
  • Lien ou expediteur qui ne correspond pas a l'organisation officielle.
  • Demande de carte, mot de passe, OTP, signature wallet ou virement.

Que faire

  1. 1À FAIRE : épingler toutes les GitHub Actions à un SHA de commit, et non à 'main' ; examiner les Actions tierces avant adoption ; utiliser GitHub OIDC + des identifiants cloud à courte durée de vie ; déployer GuardDog / StepSecurity Harden Runner.

Source

GitHub-Security-Advisory

Source verifiee par Mythos Forensic Team

https://github.blog/security/

FAQ

GitHub Action / chaîne d'approvisionnement CI CD — compromission de tj actions/changed files, mars 2025 est une vraie arnaque ?

Oui. Traitez le message, l'appel ou la demande de paiement comme suspect jusqu'a verification via un canal officiel.

Quels sont les premiers signaux ?

Pression urgente pour cliquer, payer ou partager des codes immediatement.; Lien ou expediteur qui ne correspond pas a l'organisation officielle.; Demande de carte, mot de passe, OTP, signature wallet ou virement.

Que faire en premier ?

À FAIRE : épingler toutes les GitHub Actions à un SHA de commit, et non à 'main' ; examiner les Actions tierces avant adoption ; utiliser GitHub OIDC + des identifiants cloud à courte durée de vie ; déployer GuardDog / StepSecurity Harden Runner.

LegalAudit peut-il verifier mon cas ?

Oui. Lancez le chat gratuit et collez le message, le lien, l'expediteur ou les details de paiement.