WASHINGTON / MÜNCHEN (IT BOLTWISE) – Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine kritische Sicherheitslücke in der GitHub Action tj-actions/changed-files identifiziert, die aktiv ausgenutzt wird.
Die jüngste Warnung der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) hebt eine kritische Sicherheitslücke in der GitHub Action tj-actions/changed-files hervor. Diese Schwachstelle, die als CVE-2025-30066 verfolgt wird, ermöglicht es Angreifern, durch das Einfügen von Schadcode in die GitHub Action auf sensible Daten zuzugreifen. Die Schwachstelle hat eine hohe Schwerebewertung mit einem CVSS-Score von 8,6.
Die Sicherheitslücke betrifft die Möglichkeit, dass ein Angreifer über die Aktionsprotokolle geheime Informationen wie AWS-Zugangsschlüssel, GitHub-Personalzugangstoken (PATs), npm-Token und private RSA-Schlüssel entdeckt. Diese Informationen könnten für weitere Angriffe genutzt werden, was die Dringlichkeit der Situation unterstreicht.
Cloud-Sicherheitsunternehmen Wiz hat aufgedeckt, dass dieser Angriff möglicherweise Teil eines kaskadierenden Supply-Chain-Angriffs war. Unbekannte Bedrohungsakteure kompromittierten zunächst die GitHub Action reviewdog/action-setup@v1, um dann tj-actions/changed-files zu infiltrieren. Diese Kette von Kompromittierungen zeigt die Komplexität und das Potenzial solcher Angriffe auf die Software-Lieferkette.
Die Kompromittierung der GitHub Action tj-actions/changed-files fand am oder vor dem 14. März 2025 statt, während die reviewdog Action etwa zur gleichen Zeit kompromittiert wurde. Diese zeitliche Nähe deutet darauf hin, dass die Angreifer eine koordinierte Strategie verfolgten, um die Sicherheitslücke auszunutzen. Der Angriff nutzte eine Base64-codierte Nutzlast, die in eine Datei namens install.sh eingefügt wurde, die von den CI/CD-Workflows verwendet wird.
Die Entwickler von tj-actions haben bekannt gegeben, dass der Angriff durch ein kompromittiertes GitHub-Personalzugangstoken ermöglicht wurde, das den Angreifern erlaubte, den Repository-Code unbefugt zu ändern. Dies zeigt die Risiken auf, die mit der Verwaltung von Zugangstoken verbunden sind, insbesondere in großen Entwicklergemeinschaften, in denen automatisierte Einladungen zur Beitragserweiterung genutzt werden.
In Anbetracht der Kompromittierung wird betroffenen Nutzern und Bundesbehörden geraten, auf die neueste Version von tj-actions/changed-files (46.0.1) bis zum 4. April 2025 zu aktualisieren, um ihre Netzwerke vor aktiven Bedrohungen zu schützen. Es wird jedoch auch empfohlen, vergangene Workflows auf verdächtige Aktivitäten zu überprüfen, alle geleakten Geheimnisse zu rotieren und alle GitHub Actions auf spezifische Commit-Hashes anstatt auf Versionstags zu fixieren.
Diese Vorfälle verdeutlichen die Notwendigkeit, die Sicherheit in der Software-Lieferkette zu stärken. Entwickler und Unternehmen sollten verstärkt auf die Sicherheit ihrer CI/CD-Pipelines achten und sicherstellen, dass alle verwendeten Tools und Abhängigkeiten regelmäßig überprüft und aktualisiert werden.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Werkstudent KI & Automatisierung (m/w/d) - Dein Sprungbrett in die Zukunft der KI
Anwendungsberater KI m/w/d
Duales Studium BWL-Artificial Intelligence (B.A.) am Campus oder virtuell
KI-Entwickler (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "GitHub-Sicherheitslücke: Supply-Chain-Angriff auf GitHub Actions" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "GitHub-Sicherheitslücke: Supply-Chain-Angriff auf GitHub Actions" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »GitHub-Sicherheitslücke: Supply-Chain-Angriff auf GitHub Actions« bei Google Deutschland suchen und bei Google News recherchieren!