Die große Entwicklerplattform GitHub sah sich einem weit verbreiteten Malware-Angriff gegenüber und meldete 35,000 „Code-Hits“ an einem Tag, an dem Tausende von Solana-basierten Wallets für Millionen von Dollar geleert wurden.
Der weit verbreitete Angriff wurde von GitHub-Entwickler Stephen Lucy hervorgehoben, der den Vorfall am Mittwoch erstmals gemeldet hatte. Der Entwickler stieß auf das Problem, als er ein Projekt überprüfte, das er bei einer Google-Suche gefunden hatte.
Ich entdecke einen offenbar massiven weitverbreiteten Malware-Angriff auf @ Github.
– Derzeit sind über 35 Repositories infiziert
– Bisher in Projekten gefunden, darunter: crypto, golang, python, js, bash, docker, k8s
– Es wird zu npm-Skripten, Docker-Images und Installationsdokumenten hinzugefügt pic.twitter.com/rq3CBDw3r9– Stephen Lacy (@stephenlacy) 3. August 2022
Bisher wurde festgestellt, dass verschiedene Projekte – von Crypto, Golang, Python, JavaScript, Bash, Docker und Kubernetes – von dem Angriff betroffen sind. Der Malware-Angriff zielt auf die Docker-Images, die Installationsdokumente und das NPM-Skript ab, was eine bequeme Möglichkeit darstellt, allgemeine Shell-Befehle für ein Projekt zu bündeln.
Um Entwickler zu täuschen und auf kritische Daten zuzugreifen, erstellt der Angreifer zunächst ein gefälschtes Repository (ein Repository enthält alle Dateien des Projekts und den Revisionsverlauf jeder Datei) und schiebt Klone legitimer Projekte auf GitHub. Die folgenden beiden Schnappschüsse zeigen beispielsweise dieses legitime Krypto-Miner-Projekt und seinen Klon.
Viele dieser Clone-Repositories wurden als „Pull-Requests“ gepusht, wodurch Entwickler andere über Änderungen informieren konnten, die sie in einen Branch in einem Repository auf GitHub gepusht haben.
Sobald der Entwickler dem Malware-Angriff zum Opfer fällt, wird die gesamte Umgebungsvariable (ENV) des Skripts, der Anwendung oder des Laptops (Elektron-Apps) an den Server des Angreifers gesendet. Der ENV umfasst Sicherheitsschlüssel, Zugriffsschlüssel für Amazon Web Services, Kryptoschlüssel und vieles mehr.
Der Entwickler hat das Problem GitHub gemeldet und Entwicklern geraten, ihre im Repository vorgenommenen Überarbeitungen mit GPG zu signieren. GPG-Schlüssel fügen GitHub-Konten und Softwareprojekten eine zusätzliche Sicherheitsebene hinzu, indem sie eine Möglichkeit bieten, zu überprüfen, ob alle Revisionen aus einer vertrauenswürdigen Quelle stammen.
Quelle: https://cointelegraph.com/news/github-faces-widespread-malware-attacks-affecting-projects-inclusive-crypto