Wenn die Build-Pipeline zur Angriffstür wird

Moderne Software entsteht heute schneller als je zuvor. Neue Funktionen werden teilweise mehrmals täglich veröffentlicht, Updates laufen automatisiert, und Millionen Entwickler arbeiten gemeinsam an Open-Source-Projekten. Möglich wird das durch sogenannte CI/CD-Pipelines – automatisierte Workflows, die Code testen, bauen und ausrollen. Doch genau diese Automatisierung entwickelt sich zunehmend zu einem attraktiven Ziel für Angreifer.

Sicherheitsforscher von JFrog haben nun 13 Schwachstellen – darunter zehn kritische – in CI/CD-Workflows mehrerer bekannter GitHub-Repositorys entdeckt. Die Lücken wurden mithilfe eines KI-gestützten Sicherheitsbots namens RepoHunter identifiziert, der speziell dafür entwickelt wurde, verwundbare Muster in automatisierten Entwicklungsprozessen aufzuspüren. Die Entdeckung zeigt: Angriffe auf die Software-Lieferkette entwickeln sich weiter – und können heute schneller und skalierbarer stattfinden als je zuvor.

Ein neuer Angriffspunkt in der Softwareentwicklung

CI/CD steht für Continuous Integration und Continuous Delivery – Prozesse, die heute das Rückgrat moderner Softwareentwicklung bilden. Sobald Entwickler Code ändern, prüfen automatisierte Systeme die Änderungen, bauen neue Versionen und stellen sie bereit. Für Unternehmen bedeutet das: schnellere Innovation. Für Angreifer bedeutet es: eine potenzielle Abkürzung zu sensiblen Systemen.

Die Sicherheitslücken, die das JFrog-Team entdeckte, gehören zu einer Kategorie, die in der Branche als „Pwn Requests“ bekannt ist. Dabei nutzen Angreifer manipulierte Pull-Requests, um Schwachstellen in automatisierten Workflows auszunutzen. Wenn solche Angriffe erfolgreich sind, können sie Zugang zu sensiblen Daten verschaffen – darunter:

• Cloud-Zugangsdaten
• Signaturschlüssel
• Deployment-Tokens
• interne Build-Artefakte Mit diesen Informationen lassen sich anschließend Softwareprojekte kompromittieren oder sogar Schadcode in vertrauenswürdige Software einschleusen.

KI hilft beim Aufspüren von Sicherheitslücken

Die entdeckten Schwachstellen wurden mit RepoHunter identifiziert – einem KI-basierten Bot, der speziell entwickelt wurde, um riskante Muster in CI/CD-Workflows aufzuspüren. Laut den Forschern zeigt der Einsatz solcher Technologien, wie stark sich die Sicherheitslandschaft verändert. Früher mussten Angreifer monatelang planen, um komplexe Lieferkettenangriffe vorzubereiten. Heute kann KI viele dieser Prozesse drastisch beschleunigen – sowohl für Angreifer als auch für Verteidiger. „Diese Entdeckung ist ein Weckruf für die Branche“, erklärt Shachar Menashe, Vice President of Security Research bei JFrog. Seiner Einschätzung nach verlagern sich Angriffe zunehmend: Statt direkt Paketmanager oder Softwarepakete anzugreifen, versuchen Cyberkriminelle immer häufiger, Build- und Entwicklungs-Pipelines zu übernehmen.

Betroffene Projekte mit Millionen Nutzern

Besonders brisant ist, dass einige der Schwachstellen in sehr bekannten Open-Source-Projekten gefunden wurden. Dazu gehören unter anderem:

• Ansible, eine Automatisierungsplattform, die von Millionen Organisationen genutzt wird – darunter auch viele Fortune-500-Unternehmen
• QGIS, ein weit verbreitetes Tool für Karten- und Geodatenvisualisierung, das häufig von Behörden und Regierungsorganisationen eingesetzt wird Die möglichen Auswirkungen gehen jedoch noch weiter. Die entdeckten Schwachstellen betreffen verschiedene Bereiche moderner Softwareentwicklung. Beispiele für potenzielle Auswirkungen

Software-Lieferketten von Entwicklern

Eine der Schwachstellen im Ansible-Repository hätte es Angreifern ermöglichen können, 29 Softwarepakete zu kompromittieren, die zusammen monatlich Millionen Downloads verzeichnen. KI-gestützte mobile Zahlungssysteme Weitere Lücken wurden in den KI-Frameworks XorbitsAI und Tencent ncnn entdeckt – Technologien, die unter anderem Systeme hinter WeChat Pay unterstützen, das weltweit rund 1,4 Milliarden Nutzer hat. Eine kritische Schwachstelle in einem Repository rund um den Standardisierungsprozess von JavaScript hätte sogar das Vertrauen in den Entwicklungsprozess der Sprache selbst untergraben können.

Zusätzlich entdeckten die Forscher Sicherheitsprobleme in mehreren bekannten Open-Source-Tools und Frameworks, darunter:

• Eclipse Theia
• Petgraph Rust Libraries
• SDKMAN
• Telepresence
• p4lang
• Typst Die Schwachstellen wurden inzwischen gemeldet und behoben. Ohne diese Maßnahmen hätten sie potenziell zu Sicherheitsproblemen, Leistungsstörungen oder sogar Datenverlust führen können.

Ein wachsendes Problem: Angriffe auf Open-Source-Lieferketten

Die Ergebnisse der Untersuchung passen zu einem größeren Trend. Erst kürzlich wurden mehrere weitere Repositorys großer Technologieunternehmen und Open-Source-Projekte mit ähnlichen KI-gestützten Methoden angegriffen. Betroffen waren unter anderem Projekte von:

• Microsoft
• DataDog
• der Cloud Native Computing Foundation (CNCF)
• sowie das Sicherheits-Tool Trivy

Diese Entwicklungen zeigen, dass automatisierte Angriffe auf Software-Lieferketten immer häufiger werden. Die gute Nachricht: Die entdeckten Schwachstellen wurden verantwortungsvoll gemeldet und behoben. Außerdem hat JFrog die Erkenntnisse direkt in seine Plattform integriert, sodass Unternehmen künftig leichter anfällige CI/CD-Workflows erkennen können. Für die Branche bleibt dennoch eine wichtige Erkenntnis: Die Geschwindigkeit moderner Softwareentwicklung bringt enorme Vorteile – aber auch neue Risiken. Automatisierung spart Zeit, erhöht jedoch gleichzeitig die Angriffsfläche. Oder anders gesagt: Je schneller Software entsteht, desto wichtiger wird es, auch die Sicherheit der Entwicklungsprozesse selbst zu schützen.