- Es gab einen groß angelegten Malware-Angriff auf GitHub.
- Betroffen sind mehrere Projekte, darunter auch solche aus dem Krypto-Bereich.
- Legitime Projekte wurden geklont und mit Schadskripten versehen.
Auf die bekannte Entwicklerplattform GitHub kam es zu einem großangelegten Malware-Angriff. An einem Tag wurden 35.000 „Code-Hits“ gemeldet. Am selben Tag wurden fast 200 Millionen US-Dollar aus Tausenden von Solana-Wallets gestohlen.
Der großangelegte Angriff wurde am Mittwoch von GitHub-Entwickler Stephen Lucy gemeldet. Der Entwickler ist auf das Problem gestoßen, als er ein Projekt überprüft hat, das er über eine Google-Suche gefunden hat.
Ich entdecke einen offenbar massiven, weitverbreiteten Malware-Angriff auf @github.
– Derzeit sind mehr als 35.000 Repositories infiziert
– Bisher in Projekten gefunden, darunter: crypto, golang, python, js, bash, docker, k8s
– Es wird zu npm-Skripten, Docker-Images und Installationsdokumenten hinzugefügt pic.twitter.com/rq3CBDw3r9– Stephen Lacy (@stephenlacy) 3. August 2022
Bisher wurden mehrere Projekte, nämlich Golang, Python, JavaScript, Bash, Docker und Kubernetes, sowie Kryptoprojekte als von dem Angriff betroffen identifiziert. Der Malware-Angriff zielt auf Docker-Images, die Installationsdokumente und das NPM-Skript ab, wodurch es einfacher wird, allgemeine Shell-Befehle in einem Projekt zu bündeln.
Um Entwickler zu täuschen und Zugang zu wichtigen Daten zu erhalten, erstellt der Angreifer zunächst ein gefälschtes Repository (ein Repository enthält alle Dateien des Projekts und den Revisionsverlauf für jede Datei) und stellt Klone legitimer Projekte online auf GitHub. Die nächsten beiden Screenshots zeigen ein legitimes Krypto-Mining-Projekt und seinen Klon.
Viele dieser geklonten Repositories werden als „Pull-Requests“ veröffentlicht, mit denen Entwickler andere über Änderungen benachrichtigen können, die sie an einem Branch in einem Repository auf GitHub vorgenommen haben.
In diesem Zusammenhang: Nomad bestreitet Behauptungen: Sicherheitslücke war bisher unbekannt
Sobald ein Entwickler Opfer eines Malware-Angriffs wird, wird die gesamte Umgebungsvariable (ENV) des Skripts, der Anwendung oder des Laptops (Elektron-Apps) an den Server des Angreifers gesendet. Der ENV umfasst Sicherheitsschlüssel, Zugriffsschlüssel für Amazon Web Services, Kryptoschlüssel und mehr.
Der Entwickler meldete das Problem an GitHub und empfahl den Entwicklern, ihre Revisionen mit GPG im Repository zu signieren. GPG-Schlüssel bieten eine zusätzliche Sicherheitsebene für GitHub-Konten und Softwareprojekte, indem sie eine Möglichkeit bieten, zu überprüfen, ob alle Revisionen aus einer vertrauenswürdigen Quelle stammen.
