GitHub Actions: Sicherheitslücke in der Lieferkette entdeckt

MÜNCHEN (IT BOLTWISE) – Die jüngste Sicherheitswarnung der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) hat die IT-Welt aufgeschreckt. Eine kritische Schwachstelle in der GitHub Action tj-actions/changed-files wurde entdeckt, die es Angreifern ermöglicht, sensible Daten über Aktionsprotokolle zu stehlen.

Die Cybersecurity and Infrastructure Security Agency (CISA) der USA hat eine neue Sicherheitslücke in der GitHub Action tj-actions/changed-files identifiziert, die in ihrer Schwere als hoch eingestuft wird. Diese Schwachstelle, die als CVE-2025-30066 verfolgt wird, ermöglicht es Angreifern, durch das Einfügen von bösartigem Code auf sensible Daten zuzugreifen, die in den Protokollen der Aktionen gespeichert sind.

Die Schwachstelle betrifft insbesondere die Möglichkeit, Geheimnisse wie AWS-Zugangsschlüssel, GitHub-Personen-Token, npm-Token und private RSA-Schlüssel zu entdecken. Laut CISA könnte dies ein Beispiel für einen kaskadierenden Lieferkettenangriff sein, bei dem zunächst die GitHub Action reviewdog/action-setup@v1 kompromittiert wurde, um dann die tj-actions/changed-files zu infiltrieren.

Der Angriff wurde erstmals am 11. März 2025 entdeckt, wobei die Kompromittierung der tj-actions/changed-files vor dem 14. März stattfand. Diese infizierte Action könnte genutzt werden, um bösartigen Code in CI/CD-Workflows einzuschleusen, indem ein Base64-codiertes Payload in eine Datei namens install.sh eingefügt wird, die vom Workflow verwendet wird.

Die Entwickler von tj-actions haben bekannt gegeben, dass der Angriff durch ein kompromittiertes GitHub Personal Access Token (PAT) ermöglicht wurde, das den Angreifern erlaubte, das Repository mit nicht autorisiertem Code zu modifizieren. Dies zeigt die Risiken auf, die mit der automatisierten Einladung von Mitwirkenden verbunden sind, da dies die Angriffsfläche für eine Kompromittierung erhöht.

Betroffene Nutzer und Bundesbehörden werden dringend aufgefordert, bis zum 4. April 2025 auf die neueste Version von tj-actions/changed-files (46.0.1) zu aktualisieren, um ihre Netzwerke vor aktiven Bedrohungen zu schützen. Neben dem Austausch der betroffenen Aktionen durch sicherere Alternativen wird empfohlen, vergangene Workflows auf verdächtige Aktivitäten zu überprüfen, alle geleakten Geheimnisse zu rotieren und alle GitHub Actions auf spezifische Commit-Hashes anstatt auf Versionstags zu fixieren.

Bestseller Nr. 1 - «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 - «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 - «KI Gadgets»

PLAUD Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 - «KI Gadgets»

KI-Sprachrekorder, PLAUD NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 - «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

79,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!