Die US-. Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat hinzugefügt eine neu entdeckte Schwachstelle im Zusammenhang mit der Kompromittierung der Lieferkette von GitHub Actions, tj-actions/geänderte Dateien, zu seinen bekannten ausgenutzten Schwachstellen (KEV) Katalog.
Der Fehler, verfolgt als CVE-2025-30066, wurde ein CVSS-Schweregrad von 8.6 aufgrund seines Potenzials für Remotecodeausführung und Datenfreigabe.
Eine kaskadierende Kompromittierung der Lieferkette
Diese Sicherheitslücke entsteht durch einen Verstoß gegen die GitHub-Aktionen, ermöglicht es Angreifern, Schadcode einschleusen und auf vertrauliche Daten zugreifen durch Aktionsprotokolle. GitHub Actions ist ein CI/CD (Kontinuierliche Integration und kontinuierliche Bereitstellung) Automatisierungstool bereitgestellt von GitHub, Dies ermöglicht Entwicklern die Automatisierung von Arbeitsabläufen für den Aufbau, testen, und ihren Code direkt in ihren GitHub-Repositories bereitstellen.
Das Problem ist besonders besorgniserregend, da es die unbefugte Offenlegung vertraulicher Anmeldeinformationen ermöglicht., einschließlich AWS-Zugriffsschlüssel, Persönliche GitHub-Zugriffstoken (PATs), npm-Token, und private RSA-Schlüssel.
Cloud-Sicherheitsfirma Zauberer hat den Vorfall als einen kaskadierenden Angriff auf die Lieferkette identifiziert. Unbekannte Bedrohungsakteure kompromittierten zunächst die reviewdog/action-setup@v1 GitHub-Aktionen, die später genutzt wurde, um zu infiltrieren tj-actions/changed-files. Das kompromittierte Repository führte eine Aktion aus, die reviewdog/action-setup@v1, Schaffung einer Möglichkeit für Angreifer, ihre schädliche Nutzlast auszuführen.
Laut Wiz-Forscher Rami McCarthy, Der Zeitplan des Angriffs lässt darauf schließen, dass die reviewdog Die Aktion wurde etwa zur gleichen Zeit beeinträchtigt wie die tj-actions PAT-Verstoß. Jedoch, die genaue Methode des Kompromisses bleibt unklar. Der Angriff ereignete sich vermutlich am März 11, 2025, mit dem Bruch von tj-actions/changed-files Auftreten vor März 14.
Die Auswirkungen von CVE-2025-30066 auf GitHub CI/CD-Workflows
Die kompromittierten reviewdog Diese Aktion ermöglichte es Angreifern, eine Base64-codierte Nutzlast in CI/CD-Workflows einzuschleusen. Diese Nutzlast, eingebettet in eine Datei namens install.sh, wurde entwickelt, um Geheimnisse aus Repositories mithilfe der betroffenen Workflows zu extrahieren. Vor allem, nur die v1 Tag von reviewdog/action-setup war betroffen.
Die Betreuer von tj-actions haben inzwischen bestätigt, dass der Verstoß auf einen kompromittierten GitHub Personal Access Token zurückzuführen ist (KLOPFEN), die unbefugte Änderungen am Repository ermöglichten. Die Angreifer konnten die v1 Etikett, Ersetzen durch ihren bösartigen Code.
Schadensbegrenzungsmaßnahmen und Sicherheitsempfehlungen
Als Reaktion auf den Vorfall, Betroffenen Benutzern und Bundesbehörden wurde geraten, zu aktualisieren auf tj-actions/changed-files Version 46.0.1 Vor April 4, 2025. Jedoch, angesichts der Art des Kompromisses, das Risiko eines Rückfalls bleibt hoch.
Sicherheitsmaßnahmen verstärken, Experten empfehlen folgende Maßnahmen:
- Ersetzen Sie betroffene GitHub-Aktionen durch sichere Alternativen.
- Überprüfen Sie vergangene Arbeitsabläufe auf Anzeichen böswilliger Aktivitäten.
- Rotieren Sie alle potenziell durchgesickerten Geheimnisse.
- Pin GitHub-Aktionen an bestimmte Commit-Hashes statt an Versions-Tags, um unbefugte Änderungen zu verhindern.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: