changed-files GitHub Action

Die Schwachstelle betrifft tj-actions/changed-files, eine weit verbreitete GitHub Action, die in automatisierten Build- und Test-Abläufen (Workflows) ermittelt, welche Dateien sich geändert haben. Ein Angreifer hatte den Code dieser Action heimlich verändert und Schadcode eingeschleust, sodass die Action beim Ausführen sensible Geheimnisse offenlegte. Konkret schreibt die manipulierte Action vertrauliche Daten in die Protokolle (Logs) der GitHub-Actions-Abläufe, wo ein entfernter Angreifer sie auslesen kann. Betroffen sind insbesondere Zugangsdaten und Schlüssel, die in solchen Abläufen verwendet werden – darunter gültige AWS-Zugangsschlüssel, persönliche GitHub-Zugriffstoken (PATs), npm-Token und private RSA-Schlüssel. Besonders heikel ist, dass die Manipulation in einer vertrauenswürdigen, vielfach eingebundenen Komponente steckt: Jedes Projekt, das die betroffene Version automatisch einbindet, gibt seine Geheimnisse ungewollt preis, ohne dass eigenes Zutun nötig ist. Dies ist ein klassischer Angriff auf die Software-Lieferkette.