actions-cool/issues-helper (GitHub Action)

Point de compromission dans la chaîne Rupture · étape CI/CD

Source

amont

Dépendances

deps

Build & CI

CI/CD

Packaging

artefact

Release

provenance

Registres

distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape CI/CD, propagation possible aux consommateurs. Domaines : Poste de travail, Source, Intégration, Packaging, Release, Déploiement, Secrets

Gravité élevé

Action GitHub compromise : tous les tags repointés vers un commit imposteur qui exfiltre les credentials CI/CD, sans publier de paquet.

tous tags

vers commit imposteur

Runner.Worker

mémoire lue

2 actions

même organisation

Bun

runtime déposé

En bref

Date

19/05/2026

Gravité

Élevé

Étape de la chaîne

CI/CD

Domaines SOCLE

Poste de travail+ Source, Intégration, Packaging, Release, Déploiement, Secrets

Que s'est-il passé ?

Contexte

L'action GitHub populaire actions-cool/issues-helper est compromise : tous les tags sont déplacés vers un commit imposteur absent de l'historique normal, qui exfiltre les credentials des pipelines.

Mécanisme

Le commit piégé télécharge Bun sur le runner, lit la mémoire du processus Runner.Worker (qui détient les secrets déchiffrés) et exfiltre vers t.m-kosche.com. Seuls les workflows épinglés par SHA complet sont épargnés.

Impact

Toute exécution de l'action par tag tire le code malveillant. Une seconde action de la même organisation (maintain-one-comment) est compromise par le même acteur avec le même schéma (motif identique à AntV).

Parades

Épingler les actions par SHA de commit (jamais par tag), filtrer l'egress des runners, réduire les permissions et secrets exposés aux workflows, et détecter la lecture de mémoire du runner.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-CI-6 Action tierce non épinglée V-PKG-4 Réécriture de tag mutable V-SEC-1 Secret en clair / fuité

La leçon à en tirer

Ce qu'il faut retenir

Épingler les actions par SHA ; jetons CI scopés et courts ; allowlist et revue des actions tierces.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 25 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Déploiement SOCLE-DPL-RBK-1

Intégration SOCLE-INT-GEN-7SOCLE-INT-GEN-8SOCLE-INT-VER-1

Packaging SOCLE-PKG-GEN-4SOCLE-PKG-REG-1

Release SOCLE-REL-PUB-2SOCLE-REL-PUB-3

Secrets SOCLE-SEC-GEN-1SOCLE-SEC-GEN-2SOCLE-SEC-INV-1SOCLE-SEC-INV-2SOCLE-SEC-INV-3SOCLE-SEC-ROT-3SOCLE-SEC-ROT-4SOCLE-SEC-STO-1SOCLE-SEC-STO-2SOCLE-SEC-STO-3SOCLE-SEC-STO-4SOCLE-SEC-STO-5SOCLE-SEC-STO-6

Source SOCLE-SRC-FRK-1SOCLE-SRC-GEN-4

Poste de travail SOCLE-WKS-DEV-2SOCLE-WKS-DEV-5

Pour aller plus loin

actions-cool/issues-helper : 53 tags pointent sur un commit piégéMon analyse, sur le blog Source d'origineLe compte rendu détaillé de l'incident Vecteurs : CI/CDLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →