Cycode: tj-actions/changed-files gehackt – Ein kurzer Schadensbericht
San Francisco/Heilbronn, 20. März 2025 – Ein einziger bösartiger Commit reicht, um vertrauenswürdige Tools in Einfallstore für Hacker zu verwandeln. Cycode, der Pionier im Bereich ASPM, hat aktiv zur Aufklärung des aktuellen Sicherheitsvorfalls rund um die GitHub Action „tj-actions/changed-files“ beigetragen – eine Horrorstory mit Happy End.
Mit nur einem kleinen Commit zur weit verbreiteten GitHub Action „tj-actions/changed-files“ wurden am 14. März 2025 über 23.000 GitHub-Repositorys kompromittiert, die Dunkelziffer dürfte deutlich höher liegen. Durch die kleine Injection, die sich als reguläres Update tarnte, sind bereits zahllose Secrets wie API-Tokens, Passwörter und SSH-Keys abgeflossen. Die Folgen sind gravierend, denn über diese Zugangsdaten und -dateien können Hacker in die Produktivumgebungen oder die Entwicklungsinfrastruktur von Unternehmen eindringen – und dort auf weitere sensible Daten zugreifen.
Die GitHub Action „tj-actions/changed-files“ ist ein Open-Source-Tool, das identifiziert, welche Dateien in einem Pull Request oder Commit geändert wurden. Das ist insofern hilfreich, da IT-Teams mit diesem Wissen die notwendigen Workflows wie Tests oder Deployments ganz auf diese geänderten Dateien ausrichten können. Anstatt also beispielsweise die gesamte Anwendung einem Test zu unterziehen, müssen sie nur die betroffenen Teile testen. Die „changed-files“-Action verbessert also die Effizienz von CI/CD-Pipelines enorm. Die Beliebtheit dieser essenziellen Komponente vieler Supply Chains hat sie zum Ziel der Hacker gemacht.
Bereits wenige Stunden nach dem initialen Einspielen des bösartigen Updates gab es erste Berichte über verdächtige Aktivitäten des Tools – zwölf Stunden später wurde das Repository offline gestellt, sodass keine weiteren Downloads der kompromittierten Software mehr möglich waren. Seit dem 16. März können Unternehmen das Tool wieder verwenden, die Sicherheitslücke wurde geschlossen. Allerdings verhindert die Lücke nicht das Ausnutzen der bereits abgeflossenen Secrets, weshalb Unternehmen dringend angeraten ist, alle Tokens, Passwörter und weitere Variablen in den betroffenen Workflows zu aktualisieren – über alle Umgebungen (Entwicklung, Staging und Produktion) hinweg.
Nicht im Dunkeln tappen
Der aktuelle Sicherheitsvorfall rund um die GitHub Action „tj-actions/changed-files“ zeigt einmal mehr, dass Visibilität über die gesamte Tool-Landschaft hinweg und kontinuierliches Monitoring insbesondere der CI/CD-Pipelines obligatorisch sind. Auch die vertrauenswürdigsten Tools können mit einem einfachen bösartigen Commit zum Einfallstor für Hacker werden. Da im Bereich Continuous Integration und Continuous Deployment meist Open-Source-Software zum Einsatz kommt, ist es gerade an dieser Stelle wichtig, deren Sicherheitsrisiken zu jeder Zeit im Auge zu behalten. Dabei helfen Tools wie Raven von Cycode, ein ebenfalls quelloffener CI/CD Security Analyzer. Noch besser sind holistische ASPM (Application Security Posture Management)-Lösungen, die ganzheitliche Visibilität über das gesamte Portfolio von Security-Tools für die Anwendungsentwicklung herstellen.
Tiefergehende Informationen über die Ursachen des brandaktuellen Sicherheitsvorfalls und wie Unternehmen herausfinden, ob sie betroffen sind, gibt es im aktuellen Blog-Beitrag von Cycode. Darin enthalten sind auch Details zu Präventivmaßnahmen, um solchen Risiken künftig vorzubeugen.
Über Cycode
Cycode ist Anbieter der gleichnamigen ASPM (Application Security Posture Management)-Plattform, die IT-Teams unterstützt, Schwachstellen und Sicherheitslücken in Anwendungen effektiv zu bekämpfen. Dafür sorgen die nativen Scanner von Cycode sowie optional Drittanbietertools, die Unternehmen nahtlos integrieren können. Cycode ist die einzige ASPM-Plattform, die das gesamte Spektrum der Anwendungssicherheit ganzheitlich abbildet – von der Risikoerkennung über die Kontextualisierung von Risiken durch Change Impact Analysis (CIA) bis hin zur Priorisierung und rationalisierten Fehlerbehebung. Unternehmen erhalten so höchste Visibilität über ihre Application Security Posture, können dadurch Schwachstellen schneller fixen und vom ersten Tag an ihre Kosten reduzieren. Cycode wird von führenden Investoren unterstützt und zählt zahlreiche Konzerne aus den globalen Fortune-100-Unternehmen zu seinen Nutzern.
Pressekontakt
PR-COM GmbH
Katrin Link
Account Manager
Sendlinger-Tor-Platz 6
D-80336 München
Tel. 089-59997-814
katrin.link@pr-com.de