为了上架NPM、PyPI、RubyGems等各种恶意套件引诱开发人员上当，黑客往往会使用冒充网域名称手法（Typosquatting），使用极为相似的名称假冒知名套件，但如今有研究人员发现，这样的手法也能用于攻击工作流程自动化平台。

资安业者Orca Security发现能在GitHub Actions发动相关攻击的方式，并打造概念性验证环境（PoC），他们创建14个组织，而这些组织或存储库的名称，他们刻意设置与开发者常见的字符串拼写雷同，例如：circelci、actons、docker-action、google-github-actons。

接着，他们将这些组织的存储库拷贝出去，一旦有人不慎输错指令的时候，就会中招，而非原本应该得到错误的回应。研究人员指出，开发人员不会察觉这样的情况有异，而且攻击者还能轻易修改存储库并加入恶意代码。

研究人员在设置为actons的组织得到最多结果，有4个公开存储库被开发人员参照，而在2个月内，有12个公开存储库被引用。这样的数字看起来不多，但这并不包含自用存储库引用的情况，因此实际受害范围将会更为广泛。

值得留意的是，他们设置的这些假组织，在3个月后仅有其中的circelci被察觉有异，而遭到GitHub停用，研究人员推测可能有人通报GitHub，站方才着手处理。

研究人员也提及开发者相当容易犯错的情况，他们开始着手验证之前，已有158个应调用actions的文件试图存取action，而这个数字在3个月后增加到近200个。