action-setup GitHub Action

Bei reviewdog/action-setup handelt es sich um eine GitHub-Action, die das Werkzeug reviewdog installiert und in automatisierte Arbeitsabläufe (Workflows) einbindet. Die Action wurde manipuliert: Angreifer schleusten Schadcode ein, der in den Protokollen der GitHub-Actions-Workflows offengelegte Geheimnisse – etwa Zugangstoken, Passwörter oder API-Schlüssel – ausliest und dort im Klartext ablegt. Wer die kompromittierte Action in seinem Build- oder Prüfprozess einsetzte, riskierte also, dass vertrauliche Anmeldedaten unbemerkt in einsehbaren Logdateien landeten und von Dritten abgegriffen werden konnten. Besonders heikel: Die Manipulation wirkte auch auf weitere reviewdog-Actions wie action-shellcheck, action-composite-template, action-staticcheck, action-ast-grep und action-typos, da diese intern dieselbe action-setup verwenden – und zwar unabhängig davon, welche Version genutzt oder ob die Action fest an einen bestimmten Stand gebunden („gepinnt“) wurde. Betroffen sind somit alle Projekte, deren CI/CD-Pipelines diese Komponenten einbinden.