## Lieferkette unter Beschuss: CISA reagiert auf neue Bedrohungen **CISA** äußert Bedenken hinsichtlich mehrerer aufkommender Kampagnen zur Kompromittierung der Software-Lieferkette, die gezielt Entwickler-Ökosysteme und Continuous Integration/Continuous Development (CI/CD)-Pipelines angreifen. Diese Angriffe nutzen Schwachstellen in Tools und Prozessen aus, die Unternehmens-, Cloud- und DevOps-Umgebungen unterstützen. ### GitHub durch bösartige VS Code-Erweiterung kompromittiert Bedrohungsakteure nutzten eine frühere Kompromittierung von **Nx**-Entwicklersystemen, um das Gerät eines **GitHub**-Mitarbeiters über eine vergiftete Drittanbieter-VS Code-Erweiterung zu kompromittieren. Dies führte zu unbefugtem Zugriff und Exfiltration interner **GitHub**-Repositories. Die bösartige Erweiterung, Version 18.95.0 von **Nx Console**, wurde über den automatischen Update-Mechanismus von VS Code verbreitet. Systeme, auf denen **Nx Console** zuvor installiert war, könnten das bösartige Build ohne manuelles Zutun von Entwicklern erhalten haben. **GitHub** veröffentlichte eine [Sicherheitsberatung](https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w) zu diesem Vorfall, und **CVE-2026-48027** wurde der bösartigen Version von **Nx Console** zugewiesen und dem **CISA Known Exploited Vulnerabilities (KEV) Catalog** hinzugefügt. ### 'Megalodon'-Kampagne: Einschleusen bösartiger Workflows In einer Kampagne namens 'Megalodon' schleusten Bedrohungsakteure bösartige **GitHub** Action-Workflows ein, um CI/CD-Secrets, Cloud-Anmeldeinformationen und Tokens zu stehlen. Dies beeinträchtigte sowohl Entwicklungs- als auch Bereitstellungspipelines in öffentlichen **GitHub**-Repositories. ### CISA-Empfehlungen zur Erkennung und Behebung **CISA** fordert Organisationen dringend auf, die folgenden Empfehlungen zu implementieren, um potenzielle Kompromittierungen zu erkennen und zu beheben: * Überwachen und auditieren Sie Workflow-Dateien und die Aktivität von Mitwirkenden auf verdächtige Pull-Requests und direkte Commits, insbesondere solche, die von automatisierten Konten stammen. * Machen Sie unbefugte Änderungen rückgängig, insbesondere solche von automatisierten Konten (z. B. `build-bot`, `auto-ci`, `ci-bot`, `pipeline-bot`), insbesondere solche, die nach dem 18. Mai 2026 vorgenommen wurden. ### Schritte zur Reaktion auf Vorfälle Wenn Ihre Organisation eine Kompromittierung entdeckt, die auf zuvor kompromittierte **GitHub**- oder **Nx Console**-Software zurückzuführen ist, empfiehlt **CISA** folgende Schritte: * Führen Sie eine forensische Überprüfung der CI/CD-Logs, Cloud-Audit-Trails und betroffenen Entwicklermaschinen durch. * Rotieren/widerrufen Sie alle Secrets, einschließlich Anmeldeinformationen, Tokens und Secrets, auf die CI/CD-Pipelines zugreifen können, wie z. B. API-Schlüssel, Cloud-Provider-Anmeldeinformationen (**Amazon Web Services**, **Google Cloud Platform**, **Microsoft Azure**), SSH-Schlüssel, **Docker**/**npm**/**PyPI**/**Vault**/**Terraform**/**Kubernetes**-Tokens, **GitHub**/**GitLab**/**Bitbucket**-Tokens und Entwickler- oder Pipeline-Secrets. * Benachrichtigen Sie bei Bedarf relevante Stakeholder. ### Best Practices für Paket-Repositories **CISA** empfiehlt die folgenden Best Practices für die Verwendung von Paket-Repositories: * Warten Sie mindestens drei Stunden, bevor Sie ein neues Paket herunterladen, um der Software-Community Zeit zu geben, verdächtige oder bösartige Pakete zu identifizieren. * Pinnen Sie Software auf spezifische vertrauenswürdige Versionen, um das Herunterladen eines bösartigen oder ungeprüften Pakets während des Build-Prozesses zu verhindern. * Laden Sie Pakete nur von bekannten und vertrauenswürdigen Quellen herunter, um die Wahrscheinlichkeit des Herunterladens eines bösartig geforkten Pakets zu verringern. ### Ressourcen Weitere Informationen zu diesen Kompromittierungen finden Sie in den folgenden Ressourcen: * GitHub: [Investigating unauthorized access to GitHub-owned repositories](https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/) * Nx: [Postmortem: Nx Console v18.95.0 supply-chain compromise](https://nx.dev/blog/nx-console-v18-95-0-postmortem) * Ox Security: [Megalodon: CI/CD Malware Spreading Across GitHub Repositories](https://www.ox.security/blog/megalodon-cicd-malware-github/) * StepSecurity: [Nx Console VS Code Extension Compromised](https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised#indicators-of-compromise) * SafeDep: [Megalodon: Mass GitHub Repo Backdooring via CI Workflows](https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/) ## Haftungsausschluss Die Informationen in diesem Bericht werden „wie besehen“ und ausschließlich zu Informationszwecken zur Verfügung gestellt. **CISA** unterstützt keine kommerziellen Entitäten, Produkte, Unternehmen oder Dienstleistungen, einschließlich aller Entitäten, Produkte oder Dienstleistungen, die in diesem Dokument verlinkt sind.