GitHub-Sicherheitslücke: Angriff auf Coinbase deckt Schwachstellen in 218 Repositories auf

MÜNCHEN (IT BOLTWISE) – Eine kürzlich aufgedeckte Sicherheitslücke bei GitHub hat die Verwundbarkeit von Open-Source-Projekten erneut ins Rampenlicht gerückt. Der Angriff, der ursprünglich auf ein Projekt von Coinbase abzielte, hat sich zu einem umfassenderen Problem entwickelt, das die Sicherheit von 218 Repositories gefährdet hat.

Die jüngste Sicherheitslücke bei GitHub, die durch einen Angriff auf die GitHub Action “tj-actions/changed-files” ausgelöst wurde, hat die Verwundbarkeit von Open-Source-Projekten erneut ins Rampenlicht gerückt. Ursprünglich zielte der Angriff auf ein Projekt von Coinbase ab, entwickelte sich jedoch schnell zu einem umfassenderen Problem, das die Sicherheit von 218 Repositories gefährdete. Der Angriff wurde am 14. März 2025 entdeckt, als festgestellt wurde, dass die GitHub Action kompromittiert wurde, um Code einzuschleusen, der sensible Geheimnisse aus den betroffenen Repositories leakte.

Die Sicherheitsforscher von Palo Alto Networks Unit 42 berichteten, dass der Angriff darauf abzielte, den öffentlichen CI/CD-Flow eines Open-Source-Projekts von Coinbase auszunutzen. Obwohl der Angreifer keine Coinbase-Geheimnisse verwenden oder Pakete veröffentlichen konnte, wurden dennoch zahlreiche Zugangsdaten für DockerHub, npm und Amazon Web Services (AWS) sowie GitHub-Installationszugangstoken offengelegt. Die Schwachstelle wurde mit der CVE-Nummer CVE-2025-30066 und einem CVSS-Score von 8,6 bewertet.

Ein weiterer Aspekt des Angriffs war die Kompromittierung der GitHub Action “reviewdog/action-setup”, die als Abhängigkeit von “tj-actions/changed-files” verwendet wurde. Diese Schwachstelle, die als CVE-2025-30154 verfolgt wird, ermöglichte es dem Angreifer, ein persönliches Zugriffstoken zu erlangen, das mit “tj-actions/changed-files” verbunden war, und so den bösartigen Code in das Repository einzuschleusen. Dies hatte Auswirkungen auf alle GitHub-Repositories, die von dieser Action abhingen.

Die Angreifer nutzten verschiedene Techniken, um ihre Spuren zu verwischen, darunter das Erstellen von “dangling commits” und die Verwendung temporärer GitHub-Benutzerkonten. Diese Maßnahmen deuten darauf hin, dass der Angreifer über ein tiefes Verständnis von CI/CD-Sicherheitsbedrohungen und Angriffstaktiken verfügt. Der Angriff auf Coinbase war besonders raffiniert, da der Angreifer gezielt den GITHUB_TOKEN abgriff und sicherstellte, dass der bösartige Code nur ausgeführt wurde, wenn das Repository zu Coinbase gehörte.

Obwohl das genaue Ziel der Kampagne unklar bleibt, wird vermutet, dass der Angreifer finanzielle Gewinne anstrebte, möglicherweise durch den Diebstahl von Kryptowährungen. Coinbase hat den Angriff inzwischen behoben, doch bleibt unklar, warum der Angreifer von einem gezielten Angriff auf eine groß angelegte Kampagne umschwenkte. Eine Theorie besagt, dass der Angreifer, nachdem er erkannt hatte, dass er das Coinbase-Repository nicht kompromittieren konnte, schnell handeln musste, um den Zugang zu “tj-actions/changed-files” nicht zu verlieren.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen