GitHub Actions-Kompromittierung: Workflow-Zugangsdaten werden an Angreifer-Domäne gestohlen
Die weit verbreitete GitHub Action actions-cool/issues-helper wurde kompromittiert: Alle Versionstags Repository wurden stillschweigend auf einen bösartigen Commit umgeleitet.

Kurzfassung
Warum das wichtig ist
- Die weit verbreitete GitHub Action actions-cool/issues-helper wurde kompromittiert: Alle Versionstags Repository wurden stillschweigend auf einen bösartigen Commit umgeleitet.
- Der Angriff stellt gestohlene CI/CD-Pipeline-Zugangsdaten direkt in die Hände eines Angreifers und wirft bei Entwicklungsteams weltweit, die diese Action in ihren automatisierten Workflows einsetzen, ernste Bedenken auf.
- Die Kompromittierung funktioniert auf eine täuschend einfache Weise: Ein Angreifer erlangte die Fähigkeit, Tags innerhalb des Repositories zu verschieben und alle 53 bestehenden Versionstags auf einen einzelnen Falsch-Commit umzuleiten, der nirgendwo in der normalen Codehistorie des Repositories erscheint.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Die weit verbreitete GitHub Action actions-cool/issues-helper wurde kompromittiert: Alle Versionstags Repository wurden stillschweigend auf einen bösartigen Commit umgeleitet.
Warum relevant
Jedes Team, dessen Workflow diese Action über ein Versionstag referenziert, zieht unbemerkt den bösartigen Code herunter und führt ihn aus, sobald die nächste Pipeline-Ausführung stattfindet.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Jedes Team, dessen Workflow diese Action über ein Versionstag referenziert, zieht unbemerkt den bösartigen Code herunter und führt ihn aus, sobald die nächste Pipeline-Ausführung stattfindet. Nur Workflows, die auf einen spezifischen, als vertrauenswürdig bekannten Commit-Hash festgelegt sind, bleiben vollständig unberührt.
Forscher von StepSecurity identifizierten den Angriff und veröffentlichten einen detaillierten Bericht am 18. Mai 2026.
StepSecurity gab in einem Bericht, der an Cyber Security News (CSN) übermittelt wurde, bekannt, dass der bösartige Commit die Open-Source-Bibliothek Bun als JavaScript-Runtime nutzt, um eine Last auszuführen, die direkt aus dem Arbeitsspeicher des Runner.Worker-Prozesses gelesen.
Technischer Hintergrund
Dieser Prozess ist ein Bestandteil der Pipeline-Infrastruktur von GitHub und speichert während eines Job-Laufs die entschlüsselten Workflow-Schlüssel. Auch eine zweite Aktion derselben Organisation, actions-cool/maintain-one-comment, wurde mit exakt derselben Technik kompromittiert.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/compromised-github-action-exfiltrates-workflow-credentials/
- Quell-URL
- https://cybersecuritynews.com/compromised-github-action-exfiltrates-workflow-credentials/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Künstliche Intelligenz als Schauplatz des globalen Machtkampfes: Xi Jinping und Trump stehen sich gegenüber
Auf der im Jahr 2026 in Shanghai stattfindenden Weltkonferenz für Künstliche Intelligenz (WAIC) positioniert sich China unter Staatspräsident Xi Jinping als Anführer des Globalen Südens und gründete mit 29 Ländern die Weltorganisation für künstliche Intelligenz-Zusammenarbeit (WAICO), um eine Alternative zu US-Technologiebündnissen zu schaffen. Während Peking den chinesischen KI-Markt mit einem prognostizierten Volumen von 1,2 Billionen Yuan im Jahr 2025 und der Vorstellung des Huawei-Systems Atlas 950 SuperPoD als Zeichen der technologischen Unabhängigkeit vorstellte, eskalierte die geopolitische Spannung durch US-Präsident Donald Trumps Vorwürfe bezüglich chinesischer Wahlmanipulation und die Ankündigung verschärfter Zölle.



