Ein weitreichender Supply-Chain-Angriff auf die GitHub Actions-Plattform hat mehr als 23.000 Code-Repositories betroffen. Sicherheitsforscher von Palo Alto Networks haben nun die Details dieser komplexen Attacke aufgedeckt, die ihren Ursprung in der Kompromittierung des beliebten Code-Analyse-Tools SpotBugs im November 2024 hatte.
Anatomie eines mehrstufigen Supply-Chain-Angriffs
Die Angreifer nutzten eine kritische Schwachstelle im pull_request_target-Mechanismus von GitHub Actions aus. Der initiale Zugriff erfolgte durch die Kompromittierung eines Personal Access Tokens (PAT), der ungeschützt in einer CI-Pipeline hinterlegt war. Diese Zugangsdaten ermöglichten es den Angreifern, weitere populäre Projekte wie Reviewdog und tj-actions/changed-files zu infiltrieren.
Technische Details der Kompromittierung
Nach der initialen Infiltration implementierten die Angreifer schadhaften Code in das weitverbreitete tj-actions/changed-files Paket. Diese modifizierte Version wurde so konfiguriert, dass sie sensitive Daten aus CI/CD-Prozessen extrahieren und in öffentlich zugänglichen Logs speichern konnte. Die Analyse zeigt eine hochgradig sophistizierte Vorgehensweise der Angreifer, die mehrere Sicherheitsmechanismen umgehen konnten.
Auswirkungen und kompromittierte Assets
Die Untersuchungen ergaben, dass bei dem Angriff die Zugangsdaten von 218 Repositories kompromittiert wurden. Besonders im Fokus der Angreifer standen die Projekte der Kryptowährungsbörse Coinbase, wobei das Unternehmen bestätigte, dass keine erfolgreiche Kompromittierung ihrer Infrastruktur stattgefunden hat.
Identifizierte Sicherheitslücken in GitHub Actions
Der Vorfall offenbarte mehrere fundamentale Schwachstellen in der Sicherheitsarchitektur von GitHub Actions. Besonders kritisch sind die mangelhaften Kontrollen im Tag-Management-System und die eingeschränkten Audit-Möglichkeiten für Benutzeraktionen. Die Möglichkeit zur nachträglichen Modifikation existierender Tags sowie unzureichende Vertrauensketten zwischen verbundenen Repositories stellen erhebliche Sicherheitsrisiken dar.
Als unmittelbare Reaktion auf diesen Vorfall wird empfohlen, sämtliche Zugangsdaten in potenziell betroffenen Repositories zu rotieren und eine gründliche Überprüfung der GitHub Actions-Logs für den Zeitraum vom 10. bis 14. März 2025 durchzuführen. Besondere Aufmerksamkeit sollte dabei auf Base64-kodierte Daten gelegt werden, die möglicherweise sensible Informationen enthalten. Dieser Vorfall unterstreicht die Notwendigkeit regelmäßiger Sicherheitsaudits und die konsequente Implementierung des Principle of Least Privilege in CI/CD-Umgebungen.
