GitHub als Malware-Schleuder
Eine Sicherheitsfirma berichtet über eine neue Masche, wie Schadcode im großen Stil verteilt wird: über kompromittierte Klon-Repositories auf GitHub.
Über Klon-Respositories landet Malware bei GitHub
(Bild: solarseven/Shutterstock.com)
Die in Israel und den USA angesiedelte Firma Apiiro berichtet in einem Blog-Beitrag ausführlich über eine Masche zur Verbreitung von Malware, die sie über Monate beobachtet hat. In Spitzenzeiten entstanden dadurch 100.000 verseuchte Repositories auf der beliebten Code-Plattform GitHub – die Zahl wuchs so schnell, dass GitHub mit dem Löschen nicht hinterherkam.
Der Trick, den sich die Hintermänner dieser Masche zunutze machen, ist simpel: Sie klonen das Repository eines beliebten Projekts, versetzen es mit Schadcode und bestücken damit Tausende von Repository-Klonen. Indem Sie diese dann in den Python Package Index (PyPI) einschleusen und in diversen Foren und Social-Media-Kanälen bewerben, stolpern unbedarfte Entwickler auf der Suche nach passenden Bibliotheken darüber und binden sie in ihre Projekte ein.
BlackCap-Grabber klaut Daten
Der enthaltene Schadcode, der als versteckte Payload mitreist und den Apiiro "BlackCap-Grabber" nennt, soll dann Anmeldedaten, Cookies und andere vertrauliche Angaben einsammeln und an die Command-and-Control-Server der Hintermänner übermitteln. Die Entdecker der Masche berichten, dass GitHub die meisten automatisch erzeugten Fake-Repositories schnell wieder löscht, aber einige, besonders manuell erzeugte, würden auch übersehen.
Bereits im Mai 2023 fielen laut Apiiro im Python Paketverzeichnis (PyPI) aufgeführte Pakete erstmals auf, die auf Forks von GitHub-Repositories verwiesen. Seit dem versuchen Angreifer, direkt via GitHub manipulierte Software unter die Leute zu bringen, heißt es in dem Bericht weiter. Inzwischen sollen sie sich eher auf nischige Projekte stürzen und darauf bauen, dass Entwickler zu vertrauensselig fremden Code in ihre Projekte einbauen.
Dass ausgerechnet Apiiro über diese Machenschaften berichtet, ist kein großes Wunder: Die Firma beschäftigt sich hauptsächlich mit der Sicherheit von Softwareentwicklung für Cloud-Dienste mit besonderem Schwerpunkt darauf, Lieferketten und Stücklisten zu überwachen. Die Sicherheit von Paket-Repositories wird schon länger diskutiert.
(ps)
