ClickCease GitHub-Repositories Opfer eines Angriffs auf die Lieferkette                

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

GitHub-Repositories Opfer eines Angriffs auf die Lieferkette                

Wajahat Raja

12. Oktober 2023. TuxCare-Expertenteam

In einer digitalen Landschaft, die voller Schwachstellen ist, wurde kürzlich ein beunruhigendes Phänomen aufgedeckt. GitHub-Repositoriesdie Grundlage zahlreicher Softwareprojekte, sind Opfer eines hinterhältigen Angriffs auf die Lieferkette geworden. Dieser gut geplante Supply-Chain-Angriff auf GitHub-Repositorieswurde entdeckt im Juli 2023entdeckt wurde, umfasste das Hacken von GitHub-Konten sowie das verdeckte Einschleusen von Schadcode, der als Dependabot-Beiträge getarnt war.

Da wir auf die Komplexität dieser Gefahr eingehen, erwähnen wir ein verwandtes Produkt von TuxCare, das eine Methode zur Stärkung Ihrer Java-Bibliotheksabhängigkeiten bietet.

 

Angriff auf die Lieferkette von GitHub-Repositories aufgedeckt

 

Die ruchlosen Aktivitäten, die einem Angriff auf die Lieferkettebegann, als Cybersecurity-Forscher ungewöhnliche Commits in Hunderten von öffentlichen und privaten Repositories entdeckten. Diese Commits gaben vor, echte Dependabot-Beiträge zu sein und führten ahnungslose Entwickler in die Irre. Wenn Verteidigung gegen bösartige Dependabots in GitHub-Projektenist es wichtig, sich der folgenden Punkte bewusst zu sein GitHub Sicherheitsrisiken und Schwachstellen in der Lieferkettezu kennen, insbesondere angesichts der jüngsten Vorfälle mit bösartigen Dependabots.

Dependabot ist ein vertrauenswürdiges Tool des GitHub-Ökosystems und spielt eine wichtige Rolle bei der Überprüfung von Projekten auf anfällige Abhängigkeiten. Es generiert automatisch Pull-Requests zur Aktualisierung dieser Abhängigkeiten und gewährleistet so die Sicherheit und Stabilität des Projekts.

 

Böswillige Absichten

 

Die Täter in dieser ruchlosen Kampagne hatten jedoch andere Pläne. Ihr Ziel war es, sensible Informationen, insbesondere Passwörter, von Entwicklern zu stehlen. Die bösartige Malware übertrug heimlich GitHub-Projektgeheimnisse an einen gefälschten Command-and-Control-Server. Gleichzeitig änderte sie bestehende JavaScript-Dateien in den Ziel-Repositories und fügte bösartigen Code in ein Webformular ein, das Passwörter stiehlt. Dieser Code lauerte darauf, die von ahnungslosen Benutzern eingegebenen Passwörter abzufangen.

Unterwanderung und Nachahmung

 

Der Angriff begann mit der Beschaffung persönlicher GitHub-Zugangs-Tokens, was unbemerkt blieb. Mit diesen Token in der Hand erstellten die Angreifer mithilfe automatisierter Skripte Commit-Nachrichten mit dem Begriff "fix", der auf das Benutzerkonto "dependabot[bot]" anspielt. Diese Fälschungen dienten als Einstiegspunkt für die Einschleusung von bösartigem Code in Repositories und bildeten den Auftakt zu ihrer üblen Strategie.

Die Exfiltration von Geheimnissen

 

Die Einführung einer GitHub-Aktionsdatei namens "hook.yml" half beim Abrufen von Projektgeheimnissen. Jedes Mal, wenn der Code in das betroffene Repository übertragen wurde, startete diese Datei einen neuen Vorgang. Auf diese Weise wurden die Geheimnisse unsichtbar für den feindlichen Command-and-Control-Server zugänglich gemacht.

Passwort-Diebstahl

 

Die Komponente zum Stehlen von Passwörtern hingegen injizierte heimlich verschleiertes JavaScript in JavaScript (.js)-Dateiendie dann ein entferntes Skript abriefen. Dieses entfernte Skript überwachte Formularübertragungen und sammelte Passwörter, wenn Benutzer sie in "Passwort"-Eingabefelder eintippten.

 

Der Umfang dieses Angriffs macht ihn so gefährlich. Viele kompromittierte Token gewährten Zugriff auf öffentliche und private GitHub-Repositories, was zu einer breiten Auswirkung auf GitHub-Repositories führte. Die Identifizierung und Entschärfung von Dependabot-bezogenen Bedrohungen ist wichtig, um Ihre GitHub-Repositories vor potenziellen Angriffen zu schützen.

Das Geheimnis des Wertmarkendiebstahls

 

Trotz umfangreicher Untersuchungen bleibt die spezifische Technik, mit der die Angreifer diese Token gestohlen haben, ein Rätsel. Eine mögliche Erklärung ist, dass eine Malware-Infektion, die vermutlich über ein bösartiges Paket übertragen wurde, zur Exfiltration von persönlichen Zugangstoken (PATs) führte, die lokal auf den Rechnern der Entwickler gespeichert sind. PATs ermöglichen insbesondere den Zugang zu GitHub ohne die Notwendigkeit einer Zwei-Faktor-Authentifizierung (2FA).

Überraschenderweise stammte die Mehrheit der kompromittierten Personen aus Indonesien, was darauf schließen lässt, dass es sich um eine gezielte Operation handelt, die speziell auf diese Bevölkerungsgruppe abzielt. Die Methode des Raubes bleibt jedoch unbekannt. Die Verbesserung der Sicherheit des GitHub-Repository nach dem Angriff auf die Lieferkette ist von entscheidender Bedeutung, um zukünftige Schwachstellen zu verhindern.

Ein umfassenderes Bild

 

Diese Veranstaltung unterstreicht die laufenden Bemühungen von Bedrohungsakteuren zur Destabilisierung Open-Source-Ökosysteme zu destabilisieren und Software-Lieferketten zu gefährden. In diesem Zusammenhang wurde auch eine Datenexfiltrationskampagne identifiziert, die auf npm und PyPI abzielt. Diese Kampagne verwendet gefälschte Software, um sensible Computerdaten zu sammeln und sie an einen entfernten Server zu senden. Diese Vorfälle machen deutlich, wie wichtig strenge Sicherheitsverfahren innerhalb der Open-Source-Gemeinschaft sind.

Die sichere Java-Kette von TuxCare: Eine tangentiale Lösung

 

Unser innovatives Produkt, Java Secure Chainbietet ein kuratiertes Repository von Java-Bibliotheken, die gründlich auf Schwachstellen getestet wurden. Es bietet Korrekturen für bekannte Schwachstellen und stellt sicher, dass Sie sich auf ein Repository für Ihre Abhängigkeiten verlassen können. Da die Softwarebranche mit Schwierigkeiten in der Lieferkette zu kämpfen hat, bieten Lösungen wie Java Secure Chain Schutz vor potenziellen Schwachstellen in den Abhängigkeiten von Java-Bibliotheken.

Schlussfolgerung

 

Die Infiltrierung der GitHub-Repositories durch bösartige Dependabot-Imitationen ist ein deutliches Warnsignal für die zunehmenden Bedrohungen in der digitalen Welt. Angriffe auf die Lieferkette sind weiterhin ein Problem in der Welt der Softwareentwicklung. Während wir uns diesen Herausforderungen stellen, die Implementierung sicherer Lösungen unsere Abwehrkräfte stärken und eine sicherere und widerstandsfähigere Softwareumgebung für alle schaffen.

Wachsamkeit und proaktive Sicherheitsmaßnahmen sind unsere stärksten Verbündeten in diesem sich ständig verändernden digitalen Ökosystem. Erkunden Sie Best Practices für den Schutz der Lieferkette in GitHub um Ihre Projekte proaktiv gegen neue Bedrohungen zu schützen.

Seien wir vorsichtig und arbeiten wir zusammen, um unsere digitalen Unternehmungen vor der allgegenwärtigen Bedrohung durch die Lieferkette zu schützen.

Zu den Quellen für diesen Artikel gehören Artikel in Bleeping Computer und Die Hacker-Nachrichten.

 

Zusammenfassung
GitHub-Repositories Opfer eines Angriffs auf die Lieferkette                
Artikel Name
GitHub-Repositories Opfer eines Angriffs auf die Lieferkette                
Beschreibung
Bleiben Sie auf dem Laufenden über den neuesten Supply-Chain-Angriff auf GitHub-Repositories, bei dem bösartige Dependabots auf Ihren Code abzielen. Seien Sie wachsam!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter