Mit nur einem kleinen Commit zur weit verbreiteten GitHub Action „tj-actions/changed-files“ wurden am 14. März 2025 über 23.000 GitHub-Repositorys kompromittiert, die Dunkelziffer dürfte deutlich höher liegen. Durch die kleine Injection, die sich als reguläres Update tarnte, sind bereits zahllose Secrets wie API-Tokens, Passwörter und SSH-Keys abgeflossen. Die Folgen sind gravierend, denn über diese Zugangsdaten und -dateien können Hacker in die Produktivumgebungen oder die Entwicklungsinfrastruktur von Unternehmen eindringen – und dort auf weitere sensible Daten zugreifen.
Changed-files-Action verbessert also die Effizienz
Die GitHub Action „tj-actions/changed-files“ ist ein Open-Source-Tool, das identifiziert, welche Dateien in einem Pull Request oder Commit geändert wurden. Das ist insofern hilfreich, da IT-Teams mit diesem Wissen die notwendigen Workflows wie Tests oder Deployments ganz auf diese geänderten Dateien ausrichten können. Anstatt also beispielsweise die gesamte Anwendung einem Test zu unterziehen, müssen sie nur die betroffenen Teile testen. Die „changed-files“-Action verbessert also die Effizienz von CI/CD-Pipelines enorm. Die Beliebtheit dieser essenziellen Komponente vieler Supply Chains hat sie zum Ziel der Hacker gemacht.
Bereits wenige Stunden nach dem initialen Einspielen des bösartigen Updates gab es erste Berichte über verdächtige Aktivitäten des Tools – zwölf Stunden später wurde das Repository offline gestellt, sodass keine weiteren Downloads der kompromittierten Software mehr möglich waren. Seit dem 16. März können Unternehmen das Tool wieder verwenden, die Sicherheitslücke wurde geschlossen. Allerdings verhindert die Lücke nicht das Ausnutzen der bereits abgeflossenen Secrets, weshalb Unternehmen dringend angeraten ist, alle Tokens, Passwörter und weitere Variablen in den betroffenen Workflows zu aktualisieren – über alle Umgebungen (Entwicklung, Staging und Produktion) hinweg.
Visibilität über alle Tools
Der aktuelle Sicherheitsvorfall rund um die GitHub Action „tj-actions/changed-files“ zeigt einmal mehr, dass Visibilität über die gesamte Tool-Landschaft hinweg und kontinuierliches Monitoring insbesondere der CI/CD-Pipelines obligatorisch sind. Auch die vertrauenswürdigsten Tools können mit einem einfachen bösartigen Commit zum Einfallstor für Hacker werden.
Da im Bereich Continuous Integration und Continuous Deployment meist Open-Source-Software zum Einsatz kommt, ist es gerade an dieser Stelle wichtig, deren Sicherheitsrisiken zu jeder Zeit im Auge zu behalten. Tools wie Raven von Cycode, ein ebenfalls quelloffener CI/CD Security Analyzer, können helfen. Noch besser sind holistische ASPM (Application Security Posture Management)-Lösungen, die ganzheitliche Visibilität über das gesamte Portfolio von Security-Tools für die Anwendungsentwicklung herstellen.
Kommentare