Une chaîne d'approvisionnement logicielle piégée : l'attaque GitHub Actions de mars 2025
Un développeur a dépouillé une chaîne d'approvisionnement logicielle multi-surface, révélant comment une seule action GitHub compromise peut infecter des centaines de dépôts dépendants.
Publié 10sem·1 média·Important·maj 9sem
≈ 33s
Le fait
L'attaque de mars 2025 sur tj-actions a permis l'injection de malware dans les pipelines CI/CD de 6 surfaces différentes (git, PyPI, npm, Maven, etc.).
L'incident expose la fragilité des chaînes d'approvisionnement modernes, où une dépendance transitoire unique peut devenir un vecteur critique d'infection à l'échelle d'écosystèmes entiers.