GitHub blockiert im Standard das automatische Laden von Code aus geforkten Pull Requests in privilegierten Workflows, um zu verhindern, dass Angreifer GITHUB_TOKEN und Umgebungsvariablen entwenden.
actions/checkout v7 schlägt fehlgeschlagene Workflows ab, die pull_request_target oder workflow_run mit unverifiziertem Fork-Code nutzen – ein Schritt zur “Security by Default”-Philosophie.
axios-Versionen 1.14.1 und 0.30.4 enthalten Schadsoftware. Betroffen sind Systeme mit diesen Versionen und weitere npm-Pakete. Sofortiges Downgrade auf sichere Versionen notwendig. Betroffene Systeme gelten als vollständig kompromittiert.