Open Source: Gut getarnte Malware-Kampagne in Tausenden Github Repos

Ein Sicherheitsforscher hat eine groß angelegte Malware-Kampagne entdeckt, die versucht, sich durch einfache Pull Requests einzuschmuggeln.

Artikel veröffentlicht am ,
Die Malware auf Github zielt auf das Ausleiten von Schlüsseln und Zugängen.
Die Malware auf Github zielt auf das Ausleiten von Schlüsseln und Zugängen. (Bild: Github)

Der Sicherheitsforscher und Entwickler Stephen Lacy hat offenbar einen groß angelegte Malware-Kampagne entdeckt, die bei dem Code-Hoster ein riesiges Ausmaß annimmt, wie Lacy auf Twitter berichtet. Der von Lacy entdeckte Code der Malware finde sich dabei rund 35.000 Mal auf Github und ziele darauf, Daten von Entwicklern auszuleiten, um anschließend damit weitergehende Angriffe durchzuführen.

Stellenmarkt
  1. Teamleiter Lösungen Justiz (w/m/d)
    Dataport, Altenholz/Kiel, Hamburg
  2. Akademische Seiteneinsteigerinnen / Seiteneinsteiger zur Bekämpfung der Wirtschafts- oder ... (m/w/d)
    Polizei Berlin, Berlin
Detailsuche

Der von Lacy entdeckte Code findet sich in zahlreichen verschiedenen Bereichen wie Paketen für die Programmiersprachen Go, Python und Javascript oder auch Bash, Docker und Kubernetes. Hinzugefügt wird der Code demnach etwa auch zu NPM-Paketskripten, Docker Images oder zur Dokumentation zur Installation.

Der eigentliche Angriff zielt laut Lacy dabei darauf, sämtliche Umgebungsvariablen eines Skripts, einer Anwendung oder des gesamten Rechners zu kopieren und diese an einen Server der Angreifer zu schicken. Die so erlangten Daten können etwa Schlüssel für Server- oder Cloudzugänge sein, was wohl bereits aktiv zur Codeausführung genutzt wird, wie weitere Untersuchungen zeigten.

Laut Lacy werden zur Verbreitung der Malware etwa echte Open-Source-Projekte als Kopie gefälscht. Ebenso wird der Code der Malware dabei über scheinbar harmlose Pull Requests eingereicht und weiter verbreitet. Dazu gehörten etwa Beiträge, die sich als Änderung der Versionsnummer tarnen, andere seien schlicht entstellt und geben einen anderen Inhalt vor.

Golem Karrierewelt
  1. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    31.08.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
Weitere IT-Trainings

Vor allem das zuletzt beschriebene Vorgehen könnte auf überlastete Maintainer von Open-Source-Projekten abzielen, die solch eine angebotene Hilfe ohne zusätzliche Prüfung vorschnell in die eigenen Projekte einpflegen. Darüber kann sich die Malware wiederum auf die Nutzer dieser Projekte ausweiten. Lacy empfiehlt deshalb eine Überprüfung des von Github geclonten Codes und Maintainern die Nutzung von GPG-Signaturen für Code in ihrem Projekt. Das Sicherheitsteam von Github hat inzwischen offenbar damit begonnen, den Code auf der Plattform zu entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elektromobilität
Wohnmobile werden unter Strom gesetzt

Auf dem Caravan-Salon in Düsseldorf werden die ersten Wohnmobile mit Elektroantrieb gezeigt. Doch die Branche tut sich schwer mit der Antriebswende.
Ein Bericht von Franz W. Rother

Elektromobilität: Wohnmobile werden unter Strom gesetzt
Artikel
  1. Quadcopter Pixy: Snap stellt fliegende Kamera ein
    Quadcopter Pixy
    Snap stellt fliegende Kamera ein

    Nur vier Monate nach der Einführung ist für die Snap Pixy Schluss: Der Snap-CEO streicht die Weiterentwicklung der Drohne.

  2. Hacking: Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher
    Hacking
    Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher

    Mit einer neuen Version des Bad-USB-Sticks Rubber Ducky lassen sich Rechner noch leichter angreifen und neuerdings auch heimlich Daten ausleiten.

  3. Aonic übernimmt Exmox: Hamburger Adtech-Start-up für 100 Millionen Euro verkauft
    Aonic übernimmt Exmox
    Hamburger Adtech-Start-up für 100 Millionen Euro verkauft

    Mit der schwedischen Aonic Group investiert nach Unity ein weiteres Unternehmen in die Monetarisierung von Mobilegames.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Computeruniverse bestellbar • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /