Cybersicherheitsexperten der Firma Orca haben eine neue Bedrohung für Entwickler entdeckt, die die beliebte CI/CD-Plattform GitHub Actions nutzen. Durch geschicktes Typosquatting können Angreifer ahnungslose Nutzer dazu bringen, schadhafte Aktionen auszuführen und so potentiell ganze Entwicklungsprozesse kompromittieren.
Wie funktioniert der Typosquatting-Angriff auf GitHub Actions?
Der Angriff basiert auf der Tatsache, dass jeder Nutzer eigene Actions auf GitHub veröffentlichen kann. Cyberkriminelle erstellen dabei Organisationen und Repositories mit Namen, die denen populärer GitHub Actions zum Verwechseln ähnlich sind. Macht ein Entwickler nun einen Tippfehler bei der Konfiguration einer Action, könnte stattdessen die schadhafte Version des Angreifers ausgeführt werden.
Die Forscher von Orca erklären: „Stellen Sie sich eine Action vor, die vertrauliche Informationen stiehlt oder Code modifiziert, indem sie subtile Fehler oder Hintertüren einbaut, die möglicherweise alle nachfolgenden Builds und Deployments beeinflussen.“ Die Auswirkungen können dabei weit über ein einzelnes Projekt hinausgehen.
Potentielle Auswirkungen und Risiken
Da GitHub Actions im Kontext des Nutzer-Repositories ausgeführt werden, können kompromittierte Actions:
- Zugriff auf den Quellcode erhalten und diesen manipulieren
- Sensitive Informationen und Zugangsdaten stehlen
- Schadsoftware in den Build-Prozess einschleusen
- Sich potentiell auf weitere Repositories in der Organisation ausbreiten
Besonders besorgniserregend ist die Möglichkeit von Supply-Chain-Angriffen, bei denen zahlreiche nachgelagerte Projekte und Kunden betroffen sein könnten. Die Forscher betonen: „Diese Form des Typosquattings könnte für Angreifer sehr attraktiv sein, da es sich um einen kostengünstigen und effektiven Angriff handelt, der zu einer Kompromittierung der Lieferkette führen und mehrere Kunden auf einmal betreffen kann.“
Erste Funde und Empfehlungen zur Prävention
Die Orca-Experten haben bereits 194 Dateien auf GitHub identifiziert, die fehlerhafte Versionen der populären „actions/checkout“ Action verwenden. Um sich vor solchen Angriffen zu schützen, empfehlen die Sicherheitsforscher:
- Sorgfältige Überprüfung aller verwendeten GitHub Actions auf Tippfehler
- Ausschließliche Nutzung von Actions aus vertrauenswürdigen Quellen
- Regelmäßige Audits der CI/CD-Workflows auf mögliche Fehler
Abschließend warnen die Experten, dass das volle Ausmaß der Bedrohung noch unbekannt sein könnte: „Tatsächlich könnte das Problem noch ernster sein, da wir nur öffentliche Repositories betrachtet haben. Die Auswirkungen auf private Repositories, wo die gleichen Tippfehler zu schwerwiegenden Sicherheitsverletzungen führen könnten, bleiben unbekannt.“ Unternehmen und Entwickler sollten daher besondere Wachsamkeit bei der Konfiguration und Verwendung von GitHub Actions walten lassen, um ihre CI/CD-Pipelines und Softwareprojekte vor dieser neuartigen Bedrohung zu schützen.