Mastodawn

📢 Trivy compromis une seconde fois : version malveillante v0.69.4 diffusée avec un stealer
📝 ## 🔍 Contexte

Source : IT-Connect, publié le 20 mars 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-trivy-compromis-une-seconde-fois-version-malveillante-v0-69-4-diffusee-avec-un-stealer/
🌐 source : https://www.it-connect.fr/le-scanner-trivy-pirate-une-seconde-fois-attention-au-vol-de-secrets/
#CI_CD #GitHub_Actions #Cyberveille

Trivy compromis une seconde fois : version malveillante v0.69.4 diffusée avec un stealer

🔍 Contexte Source : IT-Connect, publié le 20 mars 2026. Cet article rapporte un second incident de sécurité majeur affectant Trivy, le scanner de vulnérabilités open source maintenu par Aqua Security, en l’espace de trois semaines. 📅 Chronologie des incidents Fin février 2026 : Un bot autonome nommé hackerbot-claw exploite une faille dans un workflow GitHub Actions pour dérober un jeton d’accès et prendre le contrôle du dépôt GitHub de Trivy. Le dépôt disparaît temporairement de GitHub. 19 mars 2026 : Un nouvel incident survient. Le compte d’automatisation officiel aqua-bot publie une version malveillante v0.69.4 de Trivy. Une balise v0.70.0 est également brièvement créée. ⚙️ Mécanisme d’attaque Selon le rapport de StepSecurity, l’opération GitHub Action aquasecurity/trivy-action a été modifiée pour pointer vers des commits corrompus contenant un script malveillant. Ce script :

CyberVeille

CyberVeille.ch 2d ago

📢 Attaque supply chain sur Trivy : 75 tags de l’action GitHub aquasecurity/trivy-action détournés pour un infostealer
📝 Selon Socket (socket.dev), une nouvelle attaque de chaîne d’approvi...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-20-attaque-supply-chain-sur-trivy-75-tags-de-laction-github-aquasecurity-trivy-action-detournes-pour-un-infostealer/
🌐 source : https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise
#GitHub_Actions #IOC #Cyberveille

Habr 2d ago

Как я избавился от 502 при деплое Next.js: PM2 reload, подводные камни и сравнение с Kubernetes

Каждый пуш в main — и ты зажмуриваешься на 2 минуты: 502 или пронесло? Знакомо? Сотни разработчиков сталкиваются с этим при деплое Next.js на VPS. Решение — буквально замена одной команды и удаление одной строки. В статье: конкретный рецепт zero-downtime с PM2 cluster mode, две главные ловушки (restart vs reload и rm -rf .next), расчёт сэкономленных денег, и честное сравнение с Kubernetes. К рецепту без 502

https://habr.com/ru/articles/1012142/

#PM2 #Nextjs #zerodowntime_deployment #502_Bad_Gateway #VPS #cluster_mode #rolling_restart #GitHub_Actions #Kubernetes

Как я избавился от 502 при деплое Next.js: PM2 reload, подводные камни и сравнение с Kubernetes

Каждый деплой — рулетка: повезёт или 502? Каждый пуш в main — и ты на 2 минуты зажмуриваешься, обновляя страницу. Работает? Не работает? 502 Bad Gateway? Знакомо? У меня так было каждый деплой, пока я...

Хабр

CyberAgent Developers Bl 4d ago

GitHub Commit Status を活用した柔軟な Approve 数管理
https://developers.cyberagent.co.jp/blog/archives/62826/

#developers #エンジニア #GitHub #GitHub_Actions #WINTICKET

GitHub Commit Status を活用した柔軟な Approve 数管理 | CyberAgent Developers Blog

目次この記事で学べること想定読者はじめに GitHub の Branch Protection ...

CyberAgent Developers Blog

CyberVeille.ch 6d ago

📢 Empoisonnement du cache GitHub Actions: une chaîne d’escalade menaçait la supply chain d’Angular
📝 Source: blog d’adnanthekhan (3 mars 2026).
📖 cyberveille : https://cyberveille.ch/posts/2026-03-08-empoisonnement-du-cache-github-actions-une-chaine-descalade-menacait-la-supply-chain-dangular/
🌐 source : https://adnanthekhan.com/posts/angular-compromise-through-dev-infra/
#Angular #GitHub_Actions #Cyberveille

Empoisonnement du cache GitHub Actions: une chaîne d’escalade menaçait la supply chain d’Angular

Source: blog d’adnanthekhan (3 mars 2026). Contexte: découverte en décembre 2025 d’une mauvaise configuration GitHub Actions dans le dépôt angular/dev-infra, exploitée pour montrer une escalade via empoisonnement du cache jusqu’à un scénario plausible de compromis de supply chain d’Angular. Google a corrigé la vulnérabilité et indique qu’il n’existe plus de risque pour les utilisateurs d’Angular. – Le point de départ est un workflow “Worklow Testing” déclenché par pull_request_target utilisant la variable ${{ github.head_ref }} dans une commande shell, permettant une injection via le nom de branche. Bien que le GITHUB_TOKEN fût en lecture seule et sans secrets, l’auteur a recherché un pivot via GitHub Actions Cache Poisoning.

CyberVeille

CyberVeille.ch Mar 9

📢 Incident Trivy: exploitation de GitHub Actions, suppressions de releases et extension VSCode malveillante
📝 Source: GitHub (aquasecurity/trivy).
📖 cyberveille : https://cyberveille.ch/posts/2026-03-08-incident-trivy-exploitation-de-github-actions-suppressions-de-releases-et-extension-vscode-malveillante/
🌐 source : https://github.com/aquasecurity/trivy/discussions/10265
#GitHub_Actions #Trivy #Cyberveille

Incident Trivy: exploitation de GitHub Actions, suppressions de releases et extension VSCode malveillante

Source: GitHub (aquasecurity/trivy). Les mainteneurs annoncent qu’un workflow GitHub Actions vulnérable a été exploité (cf. billet StepSecurity), entraînant des actions malveillantes sur le dépôt Trivy et des artefacts associés; le workflow en cause a été corrigé et la restauration est en cours. Impact observé (confirmé par les mainteneurs): Le dépôt public a été rendu privé et renommé (aquasecurity/private-trivy), puis un dépôt vide a été poussé à la place. Suppression des Releases 0.27.0 à 0.69.1, ainsi que des Discussions et Assets liés à ces releases. Publication d’un artefact malveillant pour l’extension VSCode de Trivy sur l’Open VSIX Marketplace; l’artefact a été retiré et le jeton de publication révoqué. Les autres assets Trivy ont été examinés; pas d’autres impacts observés à ce stade. L’usage via images container ou gestionnaires de paquets ne devrait pas être affecté. Les téléchargements directs (binaire GitHub, get.trivy.dev, script d’installation, Action Trivy) sont dégradés. v0.69.2 a été republiée. Chronologie (UTC) fournie par les mainteneurs 🚨:

CyberVeille

Paul Meyer Dec 23

Ever got confused with GitHub actions job matrix composition when using includes, excludes and multiple dimensions? I wrote a small thing to help with that: https://katexochen.github.io/github-matrix-parser/

You can paste your workflow in and it will show all the matrix combinations that are generated. It will also warn about underspecified elements in your job list.

#GitHub #actions #CI #CICD #github_actions

GitHub Actions Matrix Parser

A simple tool to visualize GitHub Actions matrix combinations and debug complex matrix configurations.

Habr Dec 17

[Перевод] Изменения цен на GitHub Actions

GitHub только что анонсировал изменения в ценообразовании Actions. Ранее GitHub Actions имел бесплатный control plane. Это означало, что если вы использовали GitHub Actions, но запускали задачи вне GitHub-hosted runners — будь то ваши собственные машины или в вашем собственном AWS аккаунте — вы ничего не платили GitHub за эти минуты; вы платили только за вычислительные ресурсы. Теперь подход изменился. Команда Spring АйО подготовила перевод анонса команды Github.

https://habr.com/ru/companies/spring_aio/articles/977674/

#java #kotlin #github #git #github_actions #springboot #spring_boot #spring_framework

Изменения цен на GitHub Actions

GitHub только что анонсировал изменения в ценообразовании Actions. Ранее GitHub Actions имел бесплатный control plane. Это означало, что если вы использовали GitHub Actions, но запускали задачи вне...

Хабр

Habr 25+Dec 14

[Перевод] В GitHub Actions, пожалуй, худший пакетный менеджер

Когда я закончил работать над проектом ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете в файл рабочего потока uses: actions/checkout@v4 , то объявляете зависимость. GitHub её разрешает, скачивает и исполняет. Так работает управление пакетами. Я же решил отправится в кодовую базу runner , чтобы увидеть весь этот процесс изнутри. И открытия, скажу я вам, оказались весьма тревожными.

https://habr.com/ru/companies/ruvds/articles/975180/?utm_source=habrahabr&utm_medium=rss&utm_campaign=975180

#ruvds_перевод #github #управление_версиями #пакетные_менеджеры #github_actions #программирование

В GitHub Actions, пожалуй, худший пакетный менеджер

Когда я закончил работать над проектом ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете...

Хабр

Habr Dec 14

[Перевод] В GitHub Actions, пожалуй, худший пакетный менеджер

Когда я закончил работать над проектом ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете в файл рабочего потока uses: actions/checkout@v4 , то объявляете зависимость. GitHub её разрешает, скачивает и исполняет. Так работает управление пакетами. Я же решил отправится в кодовую базу runner , чтобы увидеть весь этот процесс изнутри. И открытия, скажу я вам, оказались весьма тревожными.

https://habr.com/ru/companies/ruvds/articles/975180/

#ruvds_перевод #github #управление_версиями #пакетные_менеджеры #github_actions #программирование

В GitHub Actions, пожалуй, худший пакетный менеджер

Когда я закончил работать над проектом ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете...

Хабр