Codfish/semantic-release-action GitHub Action has been compromised
GitHub Actions「Codfish/semantic-release-action」がサプライチェーン攻撃により侵害されました。このアクションは悪意のあるコードを含むバージョンに改ざんされ、機密情報の漏洩リスクが生じています。影響を受けるバージョンを使用しているプロジェクトは直ちに対策が必要です。
背景メモ
- GitHub Actionsとは、GitHubが提供するCI/CD(自動ビルド・テスト・デプロイ)機能。サードパーティ製の「Action」をワークフローに組み込んで使うことができる。
- semantic-releaseは、コミットメッセージの形式から自動でバージョン管理とリリースを行う人気のオープンソースツール。Codfish/semantic-release-actionは、それをGitHub Actions上で動かすためのラッパーAction。
- 2025年4月、このActionの一部バージョンに悪質なコードが仕込まれ、実行時に環境変数や機密情報(シークレット)を外部サーバーに送信するように改ざんされていたことが発覚。これは「サプライチェーン攻撃」の一種で、悪意のあるコードが正規の依存関係やパッケージに忍び込む形で広がる。
- 影響を受けるバージョン(v1からv5の特定のパッチ)を使っているリポジトリは、CI実行時に秘密鍵やトークンが漏洩した可能性がある。対策として、セキュアなバージョンへのアップデートや利用停止が呼びかけられている。