Sicherheitsvorfall bei tj-actions: Schadcode gefährdet GitHub Actions und sensible Daten

Der Angriff auf das Open-Source-Tool tj-actions/changed-files für GitHub Actions, der am 14. März durch das Sicherheitsunternehmen StepSecurity aufgedeckt wurde, hat die Sicherheitsbedenken im CI/CD-Prozess deutlich hervorgehoben. Angreifer hatten Schadcode in das Tool eingeschleust, dessen Funktion darin besteht, im CI/CD-Workflow zu verfolgen, welche Dateien verändert wurden. Dieser Schadcode diente dazu, sensible Informationen wie AWS-Keys, GitHub-Zugriffstoken (Personal Access Tokens, PATs) und private RSA-Schlüssel aus dem Projekt in einer Logdatei zu speichern. Die Schwere dieses Angriffs wird durch den CVE-Eintrag CVE-2025-30066 mit einem Score von 8,6 unterstrichen, der ihn als hoch einstuft. Die Maintainer des Projekts reagierten schnell und entfernten den Schadcode aus dem Repository. Dennoch besteht nach wie vor die Gefahr, dass bereits erstellte Build-Logs mit diesen sensiblen Informationen öffentlich in GitHub-Repositories sichtbar sind.

Der Angriff gelang offenbar durch die Kompromittierung eines persönlichen Zugriffstokens, das Zugang zum @tj-actions-bot im Repository gewährte. Die genaue Methode, wie dieses Token kompromittiert wurde, bleibt allerdings ungeklärt. GitHub hat das betroffene Token inzwischen zurückgezogen, und die Projektverantwortlichen haben als Schutzmaßnahme das Passwort geändert und die Passkey-Authentifizierung aktiviert. Dieser Vorfall unterstreicht die Notwendigkeit ständiger Wachsamkeit im Bereich der Open-Source-Sicherheit und zeigt deutlich, wie schnell sich Bedrohungen entwickeln können, selbst in vermeintlich vertrauenswürdigen Tools wie GitHub Actions.

Schlagwörter: GitHub Actions + tj-actions/changed-files + StepSecurity

Wie bewerten Sie den Schreibstil des Artikels?