**GitHub Actions**-Nutzer sollten sich über eine kürzliche Kompromittierung des Workflows `actions-cool/issues-helper` im Klaren sein. Laut **StepSecurity**-Forscher Varun Sharma wurden "Alle vorhandenen Tags im Repository so verschoben, dass sie auf einen Imposter-Commit zeigen, der in der normalen Commit-Historie der Action nicht erscheint. Dieser Commit enthält bösartigen Code, der Anmeldedaten aus CI/CD-Pipelines exfiltriert, die die Action ausführen." ### Imposter Commits: Eine Bedrohung für die Lieferkette Dieser Angriff nutzt einen "Imposter Commit", eine Technik, bei der bösartiger Code durch Referenzierung eines Commits oder Tags eingeschleust wird, der nur in einem vom Angreifer kontrollierten Fork existiert. Dies ermöglicht es Angreifern, Standard-Pull-Request-Reviews (PR) zu umgehen und beliebige Codeausführung zu erreichen. ### Technische Details des Angriffs Der bösartige Commit führt die folgenden Aktionen innerhalb eines **GitHub Actions**-Runners aus: * Lädt die **Bun** JavaScript-Laufzeitumgebung herunter. * Liest den Speicher des Runner.Worker-Prozesses, um Anmeldedaten zu extrahieren. * Führt einen ausgehenden HTTPS-Aufruf an eine vom Angreifer kontrollierte Domain ("t.m-kosche[.]com") durch, um die gestohlenen Daten zu übertragen. **StepSecurity** berichtete außerdem, dass 15 Tags, die mit der **GitHub Action** "actions-cool/maintain-one-comment" assoziiert sind, mit derselben bösartigen Funktionalität kompromittiert wurden. ### GitHubs Reaktion und möglicher Zusammenhang mit anderen Kampagnen **GitHub** hat den Zugriff auf das Repository inzwischen wegen "Verstoßes gegen die Nutzungsbedingungen von **GitHub**" gesperrt. Die Gründe für diese Entscheidung sind derzeit unbekannt. Interessanterweise wurde die Exfiltrationsdomain "t.m-kosche[.]com" bereits zuvor in der **Mini Shai-Hulud**-Kampagne beobachtet, die **npm**-Pakete aus dem @antv-Ökosystem ins Visier nahm, was auf eine mögliche Verbindung zwischen den beiden Aktivitäten hindeutet. ### Abhilfemaßnahmen **StepSecurity** rät: "Da jeder Tag nun auf bösartige Commits verweist, zieht jede Workflow, die die Action nach Version referenziert, beim nächsten Lauf den bösartigen Code. Nur Workflows, die an einen bekannten, guten vollständigen Commit SHA angepinnt sind, sind davon nicht betroffen." Daher sollten Nutzer dieser Actions sofort: * Ihre Workflows an einen bekannten, guten vollständigen Commit SHA anpinnen, anstatt Tags zu verwenden. * Ihre CI/CD-Pipelines auf unbefugten Zugriff oder Anmeldedatenlecks überprüfen.