tj-actions/changed-files 被骇，被骇版本会将 secret 写入运行日志；现已修复。

- 骇客伪装成 Renovate bot 更新了 minify 的 Actions 代码，亦修改了所有 tag 使其指向恶意 commit。
- 维护者称原因是自己的一个 PAT (Personal Access Token) 泄露 [1]。

- gh:tj-actions/changed-files#2463
- stepsecurity.io/~

1. gh:tj-actions/changed-files#2464

#Security #GitHubActions

Telegram 原文