Die große Entwicklerplattform GitHub sah sich einem weit verbreiteten Malware-Angriff gegenüber und meldete 35.000 „Code-Hits“ an einem Tag, an dem Tausende von Solana (SOL)-basierten Wallets für Millionen von Dollar geleert wurden.
Der weit verbreitete Angriff wurde von GitHub-Entwickler Stephen Lucy hervorgehoben, der den Vorfall am Mittwoch erstmals gemeldet hatte. Der Entwickler stieß auf das Problem, als er ein Projekt überprüfte, das er bei einer Google-Suche gefunden hatte.
Ich entdecke einen offenbar massiven weitverbreiteten Malware-Angriff auf @github.
– Derzeit sind über 35.000 Repositories infiziert
– Bisher in Projekten gefunden, darunter: crypto, golang, python, js, bash, docker, k8s
– Es wird zu npm-Skripten, Docker-Images und Installationsdokumenten hinzugefügt pic.twitter.com/rq3CBDw3r9– Stephen Lacy (@stephenlacy) 3. August 2022
Bisher wurden verschiedene Projekte von Crypto, Golang, Python, js, Bash, Docker und Kubernetes als von dem Angriff betroffen befunden. Der Malware-Angriff zielt auf die Docker-Images, die Installationsdokumente und das npm-Skript ab, was eine bequeme Möglichkeit darstellt, allgemeine Shell-Befehle für ein Projekt zu bündeln.
Um Entwickler zu täuschen und auf kritische Daten zuzugreifen, erstellt der Angreifer zunächst ein gefälschtes Repository (ein Repository enthält alle Dateien des Projekts und den Revisionsverlauf jeder Datei) und schiebt Klone legitimer Projekte auf GitHub. Die folgenden beiden Schnappschüsse zeigen beispielsweise dieses legitime Krypto-Miner-Projekt und seinen Klon.
Viele dieser Klon-Repositories wurden als „Pull-Requests“ gepusht. Mit Pull-Requests können Entwickler andere über Änderungen informieren, die sie an einen Branch in einem Repository auf GitHub gepusht haben.
Verwandt: Berichten zufolge ignorierte Nomad eine Sicherheitslücke, die zu einem 190-Millionen-Dollar-Exploit führte
Sobald der Entwickler dem Malware-Angriff zum Opfer fällt, wird die gesamte Umgebungsvariable (ENV) des Skripts, der Anwendung oder des Laptops (Elektron-Apps) an den Server des Angreifers gesendet. Das ENV umfasst Sicherheitsschlüssel, AWS-Zugriffsschlüssel, Kryptoschlüssel und vieles mehr.
Der Entwickler hat das Problem GitHub gemeldet und Entwicklern geraten, ihre im Repository vorgenommenen Überarbeitungen mit GPG zu signieren. GPG-Schlüssel fügen Ihren GitHub-Konten und Softwareprojekten eine zusätzliche Sicherheitsebene hinzu, indem sie eine Möglichkeit bieten, zu überprüfen, ob alle Revisionen aus einer vertrauenswürdigen Quelle stammen.