Multiple Reviewdog actions were compromised during a specific time period

Uma ação do GitHub usada para instalar o reviewdog foi comprometida por cerca de 2 horas em 11 de março de 2025, com código malicioso que expunha segredos sensíveis nos registros de workflow. Isso afetou várias ações relacionadas e qualquer workflow que as usasse naquele período.

reviewdog/action-setup@v1 foi comprometida (2025-03-11, 18:42–20:31 UTC) contendo código malicioso que exfiltrava segredos do GitHub Actions para logs de workflow. A vulnerabilidade afeta ações dependentes (action-shellcheck, action-composite-template, action-staticcheck, action-ast-grep, action-typos) independentemente de pinning de versão. Vetor de ataque é cadeia de suprimentos; impacto inclui exposição de segredos de repositório, tokens e credenciais em logs publicamente acessíveis.