GitHub als Angriffsvektor für die Lieferkette

GitHub ist eine unschätzbare Plattform, die von App-Entwicklern genutzt wird, um Arbeitsabläufe zu verwalten, Versionskontrolle zu betreiben, Code zu speichern und zu teilen, an Projekten zusammenzuarbeiten und vieles mehr. Doch die jüngsten Angriffe unter Verwendung kompromittierter GitHub-Aktionen und -Artefakte sind eine ernüchternde Erinnerung daran, wie wichtig es ist, bei der Verwendung von Code von Drittanbietern die besten Praktiken für die Lieferkettensicherheit anzuwenden.

Ein unwiderstehlicher Vektor

Aufgrund seiner Natur ist GitHub für Cyberkriminelle als Vektor für Angriffe auf die Software-Lieferkette sehr attraktiv. Wenn es Angreifern gelingt, die GitHub-Sicherheit zu durchbrechen und einen Codeabschnitt – einen gemeinsam genutzten Baustein – zu kompromittieren, der von einer großen Zahl von Entwicklern verwendet wird, können sie sich einen Hintertürzugriff auf Hunderte oder Tausende von Netzwerken verschaffen und dort wertvolle Daten extrahieren.

Kompromittierte Maßnahmen betreffen 23.000

Heute, am 19. März 2025, während ich dies schreibe, wurde ein großer Angriff entdeckt. In einer von der US-amerikanischen Cybersecurity & Infrastructure Security Agency (CISA) veröffentlichten Warnung wird Folgendes berichtet:

Eine beliebte GitHub-Aktion eines Drittanbieters, tj-actions/changed-files (verfolgt als CVE-2025-30066), wurde kompromittiert. Diese GitHub-Aktion wurde entwickelt, um zu erkennen, welche Dateien in einer Pull-Anfrage oder einem Commit geändert wurden. Die Kompromittierung der Lieferkette ermöglicht die Offenlegung von Geheimnissen, insbesondere gültige Zugangsschlüssel, GitHub Personal Access Tokens (PATs), npm-Tokens und private RSA-Schlüssel. Das wurde in v46.0.1 gepatcht.

Die kompromittierte GitHub-Aktion war in rund 23.000 verschiedenen GitHub-Repositories aktiv, was bedeutet, dass sie, solange sie aktiv war, Geheimnisse in großem Umfang öffentlich zugänglich gemacht haben könnte.

Ein unerwartetes Merkmal des Angriffs besteht darin, dass die bösartige Nutzlast die gestohlenen Daten nicht auf einen externen Server exfiltriert. Stattdessen werden die Daten einfach in das Repository übertragen, wo sie jeder mit Zugriff sehen kann. 

Top-Unternehmen, die von Artefaktkompromittierung betroffen sind

Im August 2024 entdeckten Forscher einen Angriff, bei dem Open-Source-Artefakte „vergiftet“ wurden. Betroffen waren Projekte von Google, Microsoft, Amazon Web Services und vielen anderen. Durch die Beeinträchtigung der Continuous Integration/Continuous Deployment-Pipeline konnten Angreifer problemlos bösartigen Code in die Produktion bringen oder auf Geheimnisse im GitHub-Repository oder anderswo im Netzwerk zugreifen.

Glücklicherweise wurden die festgestellten Fälle alle schnell entschärft, und es sah nicht so aus, als ob weitere bösartige Aktivitäten stattgefunden hätten. 

Dieser Dark Reading-Artikel von Elizabeth Montalbano bietet eine gründliche technische Erklärung des Angriffs.

Kompromittiertes Colorama begeht Datendiebstahl

Im April 2024 berichtete Matthew Russo in diesem Blog über einen weiteren Lieferkettenangriff, bei dem GitHub ausgenutzt wurde. Mit einer Kombination aus gestohlenen Browser-Cookies, Typosquatting und mehr gelang es den Kriminellen, eine manipulierte Kopie von Colorama, einem Drittanbieter-Paket, das von Millionen von Entwicklern verwendet wird, zu installieren. 

Bösartige Ressourcen konnten Daten mehrerer Browser stehlen. 

Zu den Daten gehören Informationen zum automatischen Ausfüllen, Cookies, Kreditkarten, Anmeldedaten und der Browserverlauf. Sie können auch in Discord eindringen und nach Token suchen, die sie entschlüsseln können, um Zugang zum Konto des Opfers zu erhalten und Kryptowährungs-Wallets zu stehlen, Telegram-Daten abzugreifen und Computerdateien zu exfiltrieren. Außerdem versuchen sie, mithilfe eines Sitzungs-Tokens sensible Informationen aus Instagram-Dateien zu stehlen und kann die Tastatureingaben der Opfer protokollieren, wodurch Informationen wie Passwörter, persönliche Nachrichten und finanzielle Details offengelegt werden.

Security der Lieferkette

GitHub selbst bietet eine Reihe von Security-Ressourcen. 

Dieser Artikel enthält spezifische Hinweise zu bewährten Sicherheitspraktiken, einschließlich der sicheren Verwendung von Aktionen und Workflows von Drittanbietern . Dazu gehören das Anheften von Aktionen an ein vollständiges Commit SHA, die Prüfung des Quellcodes der Aktion und vieles mehr. 

Die vollständige Liste der GitHub-Sicherheitsleitfäden finden Sie hier.

Gute allgemeine Faustregeln für die Sicherheit der Software-Lieferkette sind folgende:

• Überprüfen Sie Abhängigkeiten und Ressourcen, bevor Sie mit ihnen interagieren

• Überwachen Sie verdächtige Netzwerkaktivitäten

• Aufrechterhaltung einer angemessenen Sicherheitsposition

Eine starke WAAP-(Web Application-and-API-Protection-)Plattform wie Barracuda Application Protection kann helfen, indem sie Schwachstellen während und nach der Entwicklung erkennt und behebt und Active Threat Intelligence nutzt, um schnell auf neue Schwachstellen und Exploits zu reagieren.