Nach Nx-Angriff: Hacker kapern Github-Konten und leaken private Repos
Nach einem ausgeklügelten Supply-Chain-Angriff auf das weitverbreitete Build-System Nx haben Sicherheitsforscher weitere Zahlen zum bisher bekannten Ausmaß der Folgeangriffe veröffentlicht. Wie aus einem Bericht der Cloud-Security-Firma Wiz(öffnet im neuen Fenster) hervorgeht, kaperten die Angreifer tausende von Github-Konten und leakten darüber zugängliche private Code-Repositories und andere vertrauliche Daten.
Begonnen hatte alles bei den NPM-Paketen des Build-Systems Nx(öffnet im neuen Fenster) . Die Angreifer konnten in die jede Woche millionenfach heruntergeladenen(öffnet im neuen Fenster) Nx-Pakete Schadcode einschleusen, der Anmeldedaten der Nutzer einsammelt und diese anschließend via Github veröffentlicht. Betroffen sind davon SSH-Keys, Wallet-Zugänge, Token und andere vertrauliche Daten der Nx-Nutzer.
Die Veröffentlichung erfolgte durch öffentliche Repositories mit dem Präfix "s1ngularity-repository" , die mit den Github-Konten der Opfer erstellt wurden. Laut den Wiz-Forschern nahm Github diese Repos zwar mittlerweile vom Netz, jedoch hatten die Angreifer ausreichend Zeit, um die enthaltenen Daten zuvor abzugreifen. Die Folge: Anmeldedaten unzähliger Entwickler können für weitere Angriffe missbraucht werden.
Tausende private Repos veröffentlicht
Die Wiz-Forscher teilen die Angriffskampagne in ihrem Bericht in drei Phasen ein. In Phase 1 wurden den Angaben zufolge Anmeldedaten von mehr als 1.700 Softwareentwicklern veröffentlicht. Betroffen sind davon zumindest die Github-Token, die für den Zugriff auf das jeweilige Konto erforderlich sind. In einigen Fällen sollen aber auch noch weitere Zugangsdaten und Dateien geleakt worden sein.
In der zweiten Phase wurden laut Wiz über mindestens 480 kompromittierte Github-Konten Inhalte aus mehr als 6.700 privaten Repos veröffentlicht, die teilweise weitere Anmeldeinformationen enthielten. Rund zwei Drittel der betroffenen Nutzerkonten schreiben die Forscher Organisationen zu. Mehr als 700 Repositories sollen zudem mit nur einer einzelnen Organisation verbunden gewesen sein.
In der dritten Phase sollen schließlich erneut mehr als 500 private Repos veröffentlicht worden sein – und das über nur zwei kompromittierte Github-Konten.
Weitere Folgeangriffe zu erwarten
Github ergriff zwar Maßnahmen, um die von den Angreifern erstellten Repositories offline zu nehmen, jedoch sollen viele der kompromittierten Anmeldedaten noch immer nicht rotiert worden sein. Zumindest bei den betroffenen Github-Token gab es laut Wiz am 30. August einen starken Rückgang auf einen Anteil von nur noch 5 Prozent – am Tag zuvor lag dieser noch bei 80 Prozent.
Bei anderen Anmeldeinformationen sieht es hingegen weniger gut aus. Den Forschern zufolge sind mindestens 40 Prozent aller kompromittierten NPM-Token nach wie vor gültig. Überdies sollen zahlreiche vertrauliche Daten aus den einst privaten Code-Repos den Angreifern noch immer eine große Angriffsfläche bieten.
"Die erste Welle der Aktivitäten ist zwar vorbei, aber wir gehen davon aus, dass dieser Vorfall noch lange nachwirken wird" , warnen die Forscher. Es sei in nächster Zeit mit weiteren Angriffen auf die betroffenen Organisationen sowie weitere Softwareprojekte innerhalb der Lieferkette zu rechnen.