Github aanval.

GitHub Action Supply Chain Aanval: 218 Repositories met Gevoelige Informatie Gecompromitteerd

Een recente aanval op de GitHub Action tj-actions/changed-files heeft geleid tot de blootstelling van gevoelige informatie in 218 repositories, hoewel dit slechts een klein percentage is van de 23.000 projecten die deze actie gebruiken. Ondanks het beperkte aantal, zijn de potentiële veiligheidsrisico's aanzienlijk, vooral omdat enkele van deze repositories bijzonder populair zijn en mogelijk kunnen worden ingezet voor toekomstige supply chain aanvallen. Eigenaren van de getroffen repositories worden dringend aangeraden om hun gevoelige gegevens onmiddellijk te vernieuwen, voordat aanvallers de kans krijgen om van de lekken gebruik te maken.

De Aanval

De compromittering van de GitHub Action tj-actions/changed-files vond plaats op 14 maart 2025, toen aanvallers een kwaadaardige commit toevoegden die CI/CD-geheimen van het Runner Worker-proces naar de repository dumpte. Wanneer de workflow-logboeken openbaar toegankelijk waren ingesteld, konden deze geheimen door iedereen worden ingezien. Verdere onderzoeken hebben aangetoond dat deze aanval waarschijnlijk mogelijk werd gemaakt door een eerdere supply chain aanval die gericht was op de "reviewdog/action-setup@v1" GitHub Action. Deze inbreuk heeft mogelijk een GitHub persoonlijke toegangstoken (PAT) gecompromitteerd die door een bot werd gebruikt met de bevoegdheid om wijzigingen aan te brengen in 'tj-actions/changed-files'.

Beperkte Blootstelling

Volgens gegevens van Endor Labs, die de blootstelling van geheimen als gevolg van deze supply chain aanval hebben gemonitord, lijkt de impact van het incident beperkt, maar nog steeds significant. Tussen 14 maart om 16:00 UTC en 15 maart om 14:00 UTC verwezen 5.416 repositories van 4.072 verschillende organisaties naar de doelgerichte GitHub Action. Endor meldt dat sommige repositories meer dan 350.000 sterren en 63.000 forks hebben, waardoor hun compromittering een breed scala aan gebruikers kan beïnvloeden.

Van de 5.416 repositories die naar de GitHub Action verwezen, voerden 614 de bijbehorende workflow uit in de aangegeven periode, vaak meerdere keren. Van deze 614, zegt Endor dat 218 daadwerkelijk geheimen naar de console log printte, terwijl de rest beschermd was door het volgen van 'best-practice aanbevelingen' die als een failsafe fungeerden om de blootstelling van geheimen te voorkomen. "Het uitvoeren van de actie betekent niet noodzakelijk dat er enige inloggegevens naar de console log zijn geprint," legt Endor uit. "Sommige repositories volgden best-practice aanbevelingen en verwezen naar de commit SHA in plaats van een muteerbare tag." "Anderen werden uitgevoerd voordat de aanvaller alle versietags wijzigde zodat ze naar de kwaadaardige commit verwezen."

Gevoelige Informatie Gecompromitteerd

In de meeste gevallen betroffen de blootgestelde geheimen GitHub install access tokens, die volgens Endor binnen 24 uur vervallen, wat de aanvallers slechts een beperkt venster voor exploitatie biedt. In sommige gevallen zijn echter ook inloggegevens voor DockerHub, npm en AWS gelekt, wat een hoger beveiligingsrisico met zich meebrengt.

Vervolgonderzoek

Er blijven vragen bestaan over de vraag of de initiële Reviewdog-inbreuk heeft geleid tot andere compromitteringen buiten tj-actions en of een van de 218 projecten die door de tj-actions-aanval zijn blootgesteld, ook daadwerkelijk gecompromitteerd zijn. Gebruikers van GitHub Actions wordt sterk aangeraden om het beveiligingsadvies van GitHub te herzien en de toegang tot bestanden en mappen te beperken die gevoelige informatie kunnen blootstellen.

Conclusie

De recente supply chain aanval op GitHub benadrukt de noodzaak van strikte beveiligingsmaatregelen en het belang van het volgen van best practices bij het beheren van gevoelige informatie in softwareprojecten. Het is van cruciaal belang dat ontwikkelaars en repository-eigenaren proactief hun beveiligingsstrategieën herzien en versterken om toekomstige aanvallen te voorkomen.