Ein schwerwiegender Sicherheitsvorfall erschüttert die Entwickler-Community: Im März 2025 wurde eine weitreichende Kompromittierung des populären GitHub Actions Pakets tj-actions/changed-files aufgedeckt. Die Supply-Chain-Attacke betraf über 23.000 Organisationen und führte zu einer massiven Exfiltration sensibler Zugangsdaten aus öffentlichen Repositories.
Anatomie des Angriffs: Manipulation von Version Tags
Die Angreifer manipulierten am 14. März sämtliche Versions-Tags des tj-actions/changed-files Pakets. Diese modifizierten Tags verwiesen auf schadhaften Code, der systematisch vertrauliche Informationen aus der Server-Umgebung extrahierte und über System-Logs exfiltrierte. Diese Methode ermöglichte es den Angreifern, die Sicherheitsmechanismen von GitHub Actions zu umgehen.
Umfang der kompromittierten Daten
Sicherheitsforscher von Wiz dokumentierten die Extraktion verschiedener hochsensibler Zugangsdaten, darunter:
– AWS Access Keys und Secret Keys
– GitHub Personal Access Tokens (PATs)
– npm Publishing Tokens
– Private RSA Schlüssel
Besonders kritisch: Bei öffentlichen Repositories waren diese Daten über die Workflow-Logs für jedermann einsehbar.
Entdeckung und Incident Response
Das Sicherheitsteam von StepSecurity identifizierte am 15. März verdächtige Netzwerkaktivitäten. GitHub reagierte umgehend mit der Sperrung kompromittierter Accounts und der Entfernung des schadhaften Codes. Der Projekt-Maintainer implementierte zusätzliche Sicherheitsmaßnahmen, einschließlich verpflichtender Zwei-Faktor-Authentifizierung und Passkey-Technologie.
Präventive Sicherheitsmaßnahmen
Cybersicherheitsexperte H.D. Moore empfiehlt: „Entwickler sollten GitHub Actions Workflows nicht an Tags, sondern an spezifische Commit-Hashes binden. Dies erfordert zwar zusätzlichen Aufwand durch Code-Reviews, reduziert aber das Risiko von Supply-Chain-Angriffen signifikant.“ Zusätzlich sollten Organisationen ihre CI/CD-Pipelines nach dem Principle of Least Privilege konfigurieren.
Dieser Vorfall unterstreicht die wachsende Bedrohung durch Supply-Chain-Angriffe auf DevOps-Infrastrukturen. Organisationen wird dringend empfohlen, ihre GitHub Actions Workflows zu überprüfen, verdächtige Aktivitäten in ihren Repositories zu untersuchen und ihre Security-Policies für Third-Party Actions zu aktualisieren. Die Implementation von Software Bill of Materials (SBOM) und regelmäßige Security Audits sollten Standard-Praktiken im modernen Software-Development-Lifecycle werden.
