Eine weitreichende Supply Chain Attacke auf populäre GitHub Actions hat die CI/CD-Infrastruktur von über 23.000 Organisationen kompromittiert. Sicherheitsforscher von Wiz haben aufgedeckt, dass Angreifer durch eine ausgeklügelte Verkettung mehrerer Schwachstellen sensible Zugangsdaten aus Build-Prozessen extrahieren und öffentlich zugänglich machen konnten.
Anatomie eines mehrstufigen Supply Chain Angriffs
Die Angriffskette begann mit der Kompromittierung der weitverbreiteten Action „reviewdog/action-setup@v1“. Durch geschickt platzierten Schadcode gelang es den Angreifern, CI/CD-Secrets aus Log-Dateien zu exfiltrieren. In einem zweiten Schritt nutzten sie diese erbeuteten Credentials, um Zugriff auf den Service-Account „tj-actions-bot“ zu erlangen, was die Kompromittierung der noch populäreren Action „tj-actions/changed-files“ ermöglichte.
Technische Details der Angriffsmethode
Die Analyse zeigt eine hochentwickelte Angriffstechnik: Der Schadcode wurde Base64-kodiert in der Datei install.sh versteckt und zielte darauf ab, vertrauliche Build-Variablen und Zugangsdaten aus CI-Workflows zu extrahieren. Diese sensiblen Informationen wurden anschließend über die öffentlich einsehbaren Workflow-Logs exponiert – ein geschickter Weg, um Datenlecks zu verschleiern.
Empfohlene Sicherheitsmaßnahmen
Für betroffene Organisationen sind folgende Sofortmaßnahmen essentiell:
- Unmittelbare Überprüfung aller Repositories auf Verwendung von reviewdog/action-setup@v1
- Forensische Analyse der Workflow-Logs nach verdächtigen Base64-Strings
- Sofortige Entfernung kompromittierter Actions aus Workflows
- Proaktive Rotation sämtlicher potenziell exponierter Secrets und Zugangsdaten
Bedeutung für die Software-Supply-Chain-Sicherheit
Dieser Vorfall unterstreicht die wachsende Bedrohung durch Supply Chain Angriffe im modernen Software-Development. Die Komplexität moderner CI/CD-Pipelines schafft neue Angriffsvektoren, die besondere Aufmerksamkeit erfordern. Organisationen müssen ihre Abhängigkeiten kontinuierlich überwachen und mehrschichtige Sicherheitskontrollen implementieren.
Der Angriff verdeutlicht die Notwendigkeit eines ganzheitlichen Security-Ansatzes in der Software-Entwicklung. Unternehmen sollten ihre CI/CD-Sicherheitsstrategie überdenken und verstärkt auf Zero-Trust-Architekturen, granulare Zugriffskontrollen und kontinuierliches Security-Monitoring setzen. Nur durch proaktives Risikomanagement und regelmäßige Sicherheitsaudits lassen sich ähnliche Vorfälle künftig vermeiden.