Gil C – shutterstock.com
Sicherheitsforscher von GitGuardian haben eine neue Angriffskampagne namens „GhostAction“ aufgedeckt, die die GitHub-Lieferkette ins Visier nimmt. Dabei manipulieren die Angreifer GitHub-Actions-Workflows, also die automatisierten Prozesse, die in einem GitHub-Repository als Reaktion auf spezifische Eventsdefiniert sind. So konnten die Cyberkriminellen laut den Forschern 3.325 Secrets von 327 Benutzern aus insgesamt 817 Repositories stehlen.
Wie die GitGuardian-Experten in einem Blogbeitrag darlegen, lieferte die Python-Bibliothek FastUUID erste Anhaltspunkte über die Angriffskampagne. Dort veröffentlichte demnach ein dubioser Kontributor eine Workflow-Modifikation. Diese enthielt Code, der sensible Token exfiltriert und sie an eine Domain unter Kontrolle der Angreifer weiterleitete.
Abgefangene CI/CD-Token
„Obwohl das dem Angreifer ermöglicht hätte, das FastUUID-Paackage auf PyPI zu kompromittieren, fanden wir keine Hinweise darauf, dass schadhafte Packages innerhalb des Kompromittierungsfensters eingeführt wurden”, schreiben die Forscher. Ihrer Meinung nach deute das darauf hin, dass FASTUUID nicht das primäre Ziel der Kampagne gewesen ist.
Im Nachgang identifizierten die Sicherheitsexperten dann ähnliche schadhafte Workflows in mindestens fünf öffentlichen und zehn privaten Repositories. Daraus schließen die GitGuardian-Forscher, dass die Kampagne äußerst anpassungsfähig war und umgebungsspezifische Secrets ins Visier nahm – von Anmeldedaten für Container-Registries bis hin zu Keys von Cloud-Anbietern.
Den Forschern zufolge blieb das Angriffsmuster über alle Projekte hinweg konsistent. „Die Angreifer haben zunächst Secrets aus legitimen Workflow-Dateien aufgelistet und diese dann in schadhaften Workflows hartkodiert. So wurden Tausende sensibler Token exfiltriert, die sich nutzen lassen, um Packages zu manipulieren, unbefugt auf Infrastrukturen zuzugreifen oder die GitHub-Lieferkette weiter zu kompromittieren“, warnt GitGuardian.
Bedrohung eingedämmt
Kurz nachdem die Security-Spezialisten den Angriff entdeckt hatten, benachrichtigten sie die Maintainer der betroffenen Repositories – insgesamt nahmen sie Kontakt zu 573 Projektverantwortlichen auf. Parallel alarmierten die GitGuardian-Forscher zudem die Sicherheitsteams von GitHub, npm und PyPI. Die Administratoren des Python-Softwareverzeichnisses waren nicht minder reaktionsschnell unterwegs und setzten das FastUUID-Package innerhalb weniger Minuten auf Read-only. Kurz darauf war der schadhafte Commit Geschichte.
Obwohl bisher noch keine maliziösen Packages in offiziellen Registries veröffentlicht wurden, ist die Gefahr laut GitGuardian nicht gebannt: „Ausgehend von unseren bisherigen Untersuchungen könnten mehrere npm- und PyPI-Packages in den kommenden Tagen kompromittiert werden.“
Die Sicherheitsexperten haben deshalb in ihrem Blogbeitrag eine Liste mit Indicators of Compromise (IoC) veröffentlicht, unter anderem mit Blick auf Netzwerke und GitHub-Workflows. Als zusätzliche Schutzmaßnahmen mit Blick auf die Zukunft empfehlen die Sicherheitsexperten:
Repository-Workflows zu überprüfen,
offengelegte Anmeldedaten zu rotieren, und
strengere Kontrollmaßnahmen für GitHub Actions einzuführen.
Package-Ökosysteme wie npm und PyPI sind aufgrund ihrer Popularität und Verbreitung innerhalb der Entwickler-Community beliebte Ziele bei Cyberkriminellen. Dazu setzen diese nicht nur auf schadhafte Packages , sondern auch auf Techniken wie Typosquatting Und natürlich setzen die Kriminellen längst auch auf KI, um Entwickler dazu zu verleiten, zur Installation kompromittierten Code auszuführen. (jm/fm)
No Responses