GitHub ha publicado una actualización de actions/checkout, la acción que casi todos los flujos de GitHub Actions usan para clonar el repositorio, orientada a frenar los ataques conocidos como pwn-request. El cambio busca cortar de raíz uno de los abusos más recurrentes contra la cadena de CI/CD.

Un pwn-request explota workflows mal configurados que se disparan con el evento pull_request_target: este evento ejecuta el workflow con permisos del repositorio base pero, si además hace checkout del código del pull request, puede acabar ejecutando código controlado por un atacante con acceso a secretos y tokens del pipeline.

El resultado de un pwn-request exitoso suele ser la fuga del GITHUB_TOKEN, de secretos de CI o la manipulación de artefactos de build —es decir, un compromiso de la cadena de suministro desde dentro del propio repositorio. Por eso endurecer el checkout es un control de alto impacto.

Más allá de actualizar, el consejo sigue vigente: no combinar pull_request_target con checkout del código no confiable, minimizar los permisos de los workflows y tratar los secretos de CI/CD como credenciales de producción.


¿Estás cubierto en DefensOps?

El motor de correlación de DefensOps cubre este patrón de actividad de forma genérica, encadenando eventos de red, endpoint e identidad para levantar un incidente antes de que el atacante alcance su objetivo.

Plan mínimo: Essential

Solicita una demo de DefensOps y comprueba en minutos qué visibilidad tendrías sobre una campaña como esta.


Fuente primaria: https://thehackernews.com/2026/06/github-updates-actionscheckout-to-block.html