{"id":14759,"date":"2025-09-09T12:36:35","date_gmt":"2025-09-09T12:36:35","guid":{"rendered":"https:\/\/newestek.com\/?p=14759"},"modified":"2025-09-09T12:36:35","modified_gmt":"2025-09-09T12:36:35","slug":"github-actions-missbraucht","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14759","title":{"rendered":"GitHub Actions missbraucht"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?quality=50&strip=all 3540w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_177668495.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>
Mit der neuen Angriffskampagne \u201cGhostAction\u201d haben es Cyberkriminelle auf die GitHub-Lieferkette abgesehen.<\/figcaption><\/figure>\n

Gil C \u2013 shutterstock.com<\/p>\n<\/div>\n

Sicherheitsforscher von GitGuardian haben eine neue Angriffskampagne namens \u201eGhostAction\u201c aufgedeckt, die die GitHub-Lieferkette ins Visier nimmt. Dabei manipulieren die Angreifer GitHub-Actions-Workflows<\/a>, also die automatisierten Prozesse, die in einem GitHub-Repository als Reaktion auf spezifische Eventsdefiniert sind. So konnten die Cyberkriminellen laut den Forschern 3.325 Secrets von 327 Benutzern aus insgesamt 817 Repositories stehlen.<\/p>\n

Wie die GitGuardian-Experten in einem Blogbeitrag<\/a>\u00a0darlegen, lieferte die Python-Bibliothek FastUUID<\/a> erste Anhaltspunkte \u00fcber die Angriffskampagne. Dort ver\u00f6ffentlichte demnach ein dubioser Kontributor eine Workflow-Modifikation. Diese enthielt Code, der sensible Token exfiltriert und sie an eine Domain unter Kontrolle der Angreifer weiterleitete.<\/p>\n

Abgefangene CI\/CD-Token<\/strong><\/h2>\n

\u201eObwohl das dem Angreifer erm\u00f6glicht h\u00e4tte, das FastUUID-Paackage auf PyPI zu kompromittieren, fanden wir keine Hinweise darauf, dass schadhafte Packages innerhalb des Kompromittierungsfensters eingef\u00fchrt wurden\u201d, schreiben die Forscher. Ihrer Meinung nach deute das darauf hin, dass FASTUUID nicht das prim\u00e4re Ziel der Kampagne gewesen ist.<\/p>\n

Im Nachgang identifizierten die Sicherheitsexperten dann \u00e4hnliche schadhafte Workflows in mindestens f\u00fcnf \u00f6ffentlichen und zehn privaten Repositories. Daraus schlie\u00dfen die GitGuardian-Forscher, dass die Kampagne \u00e4u\u00dferst anpassungsf\u00e4hig war und umgebungsspezifische Secrets ins Visier nahm \u2013 von Anmeldedaten f\u00fcr Container-Registries bis hin zu Keys von Cloud-Anbietern.<\/p>\n

Den Forschern zufolge blieb das Angriffsmuster \u00fcber alle Projekte hinweg konsistent. \u201eDie Angreifer haben zun\u00e4chst Secrets aus legitimen Workflow-Dateien aufgelistet und diese dann in schadhaften Workflows hartkodiert. So wurden Tausende sensibler Token exfiltriert, die sich nutzen lassen, um Packages zu manipulieren, unbefugt auf Infrastrukturen zuzugreifen oder die GitHub-Lieferkette weiter zu kompromittieren\u201c, warnt GitGuardian.<\/p>\n

Bedrohung einged\u00e4mmt<\/strong><\/h2>\n

Kurz nachdem die Security-Spezialisten den Angriff entdeckt hatten, benachrichtigten sie die Maintainer der betroffenen Repositories \u2013 insgesamt nahmen sie Kontakt zu 573 Projektverantwortlichen auf. Parallel alarmierten die GitGuardian-Forscher zudem die Sicherheitsteams von GitHub, npm und PyPI. Die Administratoren des Python-Softwareverzeichnisses waren nicht minder reaktionsschnell unterwegs und setzten das FastUUID-Package innerhalb weniger Minuten auf Read-only. Kurz darauf war der schadhafte Commit Geschichte.<\/p>\n

Obwohl bisher noch keine malizi\u00f6sen Packages in offiziellen Registries ver\u00f6ffentlicht wurden, ist die Gefahr laut GitGuardian nicht gebannt: \u201eAusgehend von unseren bisherigen Untersuchungen k\u00f6nnten mehrere npm- und PyPI-Packages in den kommenden Tagen kompromittiert werden.\u201c<\/p>\n

Die Sicherheitsexperten haben deshalb in ihrem Blogbeitrag eine Liste mit Indicators of Compromise (IoC) ver\u00f6ffentlicht, unter anderem mit Blick auf Netzwerke und GitHub-Workflows. Als zus\u00e4tzliche Schutzma\u00dfnahmen mit Blick auf die Zukunft empfehlen die Sicherheitsexperten:<\/p>\n