那次大规模的 GitHub 供应链攻击？这一切都始于一个被盗的 SpotBugs 代币

快速阅读: 《The Register》消息，项目因被盗个人访问令牌（PAT）遭入侵，攻击者篡改了依赖项，可能泄露存储库敏感数据。维护团队正紧急修复，建议用户检查更新依赖项。此事件强调权限管理和安全配置的重要性。

代码审查工具的维护者随后确认，由于被盗的个人访问令牌（PAT），其项目遭遇了入侵。这使得攻击者能够篡改该操作，而此操作被 **tj-actions/eslint-changed-files** 用作依赖项，同时 **tj-actions/eslint-changed-files** 又依赖于 **tj-actions/changed-files**。他们表示：“此次攻击可能波及其他操作，尤其是广泛使用的 **tj-actions/changed-files**，进而导致存储库泄露敏感数据。”这一攻击还可能使其他操作受到入侵，特别是常用的 **tj-actions/changed-files**，从而造成存储库敏感信息泄露。

维护团队正在紧急调查并修复问题，用户也被建议立即检查和更新相关依赖项以确保系统的安全性。这一事件再次提醒开发者，在使用第三方工具时需格外注意权限管理与安全配置，避免类似风险的发生。

(以上内容均由Ai生成)