TensorFlow CI/CD の欠陥によりサプライチェーンがポイズニング攻撃にさらされる from thehackernews.com

研究者らによると、GitHub Actions ランナーは、自己ホスト型ランナー上で悪意のあるコードを実行するために使用される可能性があります。
この脆弱性は、オープンソース フレームワーク TensorFlow で発見されました。
「攻撃者は、Python Package Index (PyPI) レジストリへの認証のためにリリースワークフローで使用される AWSPYPIACCOUNTTOKEN を盗む可能性もあります」と彼らは付け加えた。
いくつかのパブリック Git リポジトリはサプライ チェーン攻撃に対して脆弱であると、研究者らは .nn.dot.json ファイルを追加しました。