セキュリティ研究者は、変更されたファイルを識別する目的で「GitHub」の2万3000件以上のリポジトリで使用されているプラットフォーム「tj-actions/changed-files GitHub Action」に対するサプライチェーン攻撃について警告した。 StepSecurityによると、2025年3月14日(現地時間)の早朝に悪質なコミットが検出され、これが大量の秘密情報の漏えいにつながったようだ(注1)。 「今後手に負えなくなる事態になる可能性がある」 今回の攻撃のリスクは このプラットフォームはCI/CD(継続的インテグレーション/継続的デリバリー)のプロセスで広く使用され、ソフトウェア開発の自動化に役立っている。 StepSecurityのヴァルン・シャルマ氏(CEO)は電子メールで次のように述べた。 「このインシデントは、ソフトウェアサプライチェーンに関するリスクの増大と
