Mit der neuen Angriffskampagne “GhostAction” haben es Cyberkriminelle auf die GitHub-Lieferkette abgesehen.
Gil C – shutterstock.com
Sicherheitsforscher von GitGuardian haben eine neue Angriffskampagne namens „GhostAction“ aufgedeckt, die die GitHub-Lieferkette ins Visier nimmt. Dabei manipulieren die Angreifer GitHub-Actions-Workflows, also die automatisierten Prozesse, die in einem GitHub-Repository als Reaktion auf spezifische Eventsdefiniert sind. So konnten die Cyberkriminellen laut den Forschern 3.325 Secrets von 327 Benutzern aus insgesamt 817 Repositories stehlen.
Wie die GitGuardian-Experten in einem Blogbeitrag darlegen, lieferte die Python-Bibliothek FastUUID erste Anhaltspunkte über die Angriffskampagne. Dort veröffentlichte demnach ein dubioser Kontributor eine Workflow-Modifikation. Diese enthielt Code, der sensible Token exfiltriert und sie an eine Domain unter Kontrolle der Angreifer weiterleitete.
Abgefangene CI/CD-Token
„Obwohl das dem Angreifer ermöglicht hätte, das FastUUID-Paackage auf PyPI zu kompromittieren, fanden wir keine Hinweise darauf, dass schadhafte Packages innerhalb des Kompromittierungsfensters eingeführt wurden”, schreiben die Forscher. Ihrer Meinung nach deute das darauf hin, dass FASTUUID nicht das primäre Ziel der Kampagne gewesen ist.
