A vulnerabilidade, chamada de **“GitHub Environment Injection”**, permite explorar a integração automatizada e o processo de build na plataforma  injetando uma carga maliciosa em uma variável de ambiente do **GitHub** chamada `“GITHUB_ENV”` – pesquisadores da **Legit Security** identificaram a vulnerabilidade em workflows automatizados utilizados pelo **Google Firebase** e **Apache Camel**.

Qualquer usuário poderia explorar a falha realizando o `fork` do repositório, inserindo o código malicioso e, em seguida, apenas solicitar o `merge` de volta.

Não era necessário o `merge`, de fato, ocorrer – a solicitação expunha um [token](url) de acesso que permitia ataques futuros e **a vulnerabilidade era acionada antes que o mantenedor do projeto pudesse revisar ou aceitar a alteração**.

Embora o Google e Apache tenham resolvido o problema, **outros repositórios provavelmente estão vulneráveis.**

Essa notícia até me fez revisar se o TabNews está com algum `secret` e por enquanto não temos, mas quando tivermos, precisamos prestar **muita** atenção nesse comportamento.

![Secrets ou tokens no GitHub](https://i.imgur.com/6KITHhA.png)

Merge requests no GitHub podem levar a ataques do tipo supply chain

A vulnerabilidade, chamada de “GitHub Environment Injection”, permite explorar a integração automatizada e o processo de build na plataforma injetando uma carga maliciosa em uma variável...