MalwareHackerangriffeCloud-Sicherheit

GitHub-Actions kompromittiert: Angreifer stehlen CI/CD-Credentials über manipulierte Tags

Von CyberDeutsch Redaktion
GitHub-Actions kompromittiert: Angreifer stehlen CI/CD-Credentials über manipulierte Tags
Zusammenfassung

Eine Sicherheitslücke in beliebten GitHub Actions hat zu einem erneuten Supply-Chain-Angriff geführt, der tausende von Entwicklungspipelines gefährden könnte. Unbekannte Angreifer haben die weit verbreiteten Workflows „actions-cool/issues-helper" und „actions-cool/maintain-one-comment" kompromittiert, indem sie alle Repository-Tags auf manipulierte Commits umleiteten, die böswilligen Code enthalten. Dieser Schritt umgeht die üblichen Überprüfungsmechanismen und ermöglicht es den Angreifern, sensible CI/CD-Anmeldedaten aus den Pipelines zu stehlen und an externe Server zu übertragen. Besonders bemerkenswert ist die Verbindung zu der Mini-Shai-Hulud-Kampagne, die kürzlich npm-Pakete des @antv-Ökosystems angegriffen hat – beide nutzen dieselbe Exfiltrationsdomäne. Für deutsche Unternehmen und Entwickler ist dies ein erhebliches Risiko, da jeder Workflow, der diese GitHub Actions über Version-Tags referenziert, beim nächsten Durchlauf automatisch den schadhaften Code ausführt. Nur Workflows mit fest verwurzelten vollständigen Commit-SHA-Adressen bleiben geschützt. GitHub hat das Repository inzwischen deaktiviert, doch das Ausmaß der Kompromittierung und der bereits gestohlenen Credentials ist noch unklar.

Die Sicherheitscommunity schlägt Alarm: Unbekannte Angreifer haben es geschafft, zwei weit verbreitete GitHub Actions zu kompromittieren und damit potenziell Tausende automatisierte Entwicklungs- und Deployment-Prozesse zu infizieren. Die betroffenen Repositories “actions-cool/issues-helper” und “actions-cool/maintain-one-comment” wurden gezielt manipuliert, um Entwickler-Credentials zu stehlen.

Wie die Sicherheitsforscher von StepSecurity dokumentieren, wurden sämtliche Tags der Repositories auf Imposter Commits umgelenkt — gefälschte Commits, die nur in einem von den Angreifern kontrollierten Fork existieren und nicht in der normalen Commit-Historie auftauchen. Diese Taktik ist besonders tückisch, weil sie automatisierte Code-Reviews und Sicherheitsprüfungen umgeht. Wer die Action über eine Versionsnummer wie “v1.5.0” referenziert, erhält beim nächsten Workflow-Run automatisch die malware Variante.

Der injizierte Code führt beim Ausführen im GitHub Actions Runner eine Serie bösartiger Operationen durch — unter anderem die Exfiltration von sensiblen Zugangsdaten. Die Angreifer nutzen dafür die Domain “t.m-kosche[.]com” als Exfiltrations-Ziel.

Besonders bemerkenswert ist die Verbindung zu einer breiteren Angriffskampagne: Experten von Socket deuten darauf hin, dass die gleiche Threat-Actor-Gruppe hinter der sogenannten “Mini Shai-Hulud”-Kampagne steckt, die npm-Pakete der @antv-Ecosystem-Sammlung kompromittiert. Die Übereinstimmung bei der Exfiltrations-Domain ist zu prägnant, um Zufall zu sein.

Microsoft hat die betroffenen Repositories inzwischen deaktiviert — angeblich wegen Verstoß gegen die Terms of Service. Für deutsche Entwicklerteams und Unternehmen ist die Botschaft klar: Regelmäßige Audits der verwendeten GitHub Actions gehören zur Basishygiene. Wer die Repositories nach versioniertem Tag referenziert, sollte sofort auf neuere Versionen überprüfen oder auf bekannte gute Commit-SHAs pinnen. Nur Workflows mit vollständigen Commit-Hashes bleiben unberührt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Cybersecurity-Community warnen: Supply-Chain-Attacken dieser Art werden zum neuen Standard im Kampf zwischen Cyberkriminellen und Entwicklern.

Ähnliche Artikel