Eine umfassende Untersuchung einer weitreichenden Lieferkettenattacke auf GitHub Actions hat ergeben, dass von initial vermuteten 23.000 betroffenen Repositories letztendlich nur 218 tatsächlich kompromittiert wurden. Die Analyse enthüllte, dass die Kryptowährungsbörse Coinbase das primäre Angriffsziel darstellte, während die weiteren Kompromittierungen als Kollateralschäden einzustufen sind.
Technische Details der Angriffskette
Der Angriff begann mit der Kompromittierung der Komponente reviewdog/action-setup@v1, in die Angreifer schadhaften Code zur Extraktion von CI/CD-Secrets aus Workflow-Logs einschleusten. Diese initiale Kompromittierung ermöglichte den Zugriff auf einen Personal Access Token (PAT) von tj-actions/eslint-changed-files, wodurch sich der Angriff in der Software-Lieferkette ausbreiten konnte.
Quantifizierung der Auswirkungen
Laut Analysen von Endor Labs griffen zwischen dem 14. und 15. März 2025 insgesamt 5.416 Repositories von 4.072 Organisationen auf die kompromittierte GitHub Action zu. Die tatsächliche Ausführung des schadhaften Codes erfolgte jedoch nur in 614 Fällen, wobei in 218 Repositories nachweislich Secrets kompromittiert wurden. Die Mehrheit der betroffenen Credentials waren temporäre GitHub-Tokens mit 24-stündiger Gültigkeit, in Einzelfällen wurden auch DockerHub-, npm- und AWS-Zugangsdaten exponiert.
Gezielte Attacke auf Coinbase Infrastructure
Untersuchungen der Sicherheitsteams von Palo Alto Unit 42 und Wiz deckten auf, dass das Framework coinbase/agentkit das ursprüngliche Angriffsziel war. Die Angreifer erlangten einen GitHub-Token mit Schreibrechten für das Repository etwa zwei Stunden vor Beginn der Massenattacke. Dank robuster Sicherheitsmaßnahmen bei Coinbase konnte jedoch größerer Schaden verhindert werden.
Implementierung effektiver Schutzmaßnahmen
Der Vorfall unterstreicht die Bedeutung etablierter Security-Best-Practices im Umgang mit GitHub Actions. Als besonders wirksam erwiesen sich die Verwendung von SHA-Commits statt veränderbarer Tags, die Implementierung kurzer Token-Laufzeiten sowie die strikte Überwachung öffentlicher CI/CD-Logs. Die identifizierten Schwachstellen wurden als CVE-2025-30154 und CVE-2025-30066 registriert.
Dieser Sicherheitsvorfall verdeutlicht die zunehmende Komplexität moderner Supply-Chain-Angriffe und die Notwendigkeit eines mehrstufigen Sicherheitskonzepts für DevOps-Prozesse. Organisationen wird dringend empfohlen, regelmäßige Sicherheitsaudits ihrer GitHub Actions durchzuführen und Zero-Trust-Prinzipien in ihre CI/CD-Pipelines zu integrieren. Die Implementation von automatisierten Schwachstellenscans und die Einführung von Just-in-Time-Zugriffsrechten können das Risiko ähnlicher Vorfälle erheblich reduzieren.
