Was du wissen musst
- Apiiro, ein Cybersicherheitsunternehmen, berichtete, dass GitHub einen massiven Angriff erlitten habe, der Tausende von Menschen betreffen könnte.
- Bei diesem Angriff werden sichere und saubere Repositorys geklont, bösartiger, verschleierter Code hinzugefügt und erneut hochgeladen.
- GitHub versucht, die bösartigen Repositories zu löschen, kann aber scheinbar nicht alle nachverfolgen.
In einem aktuellen Bericht von Apiiror, Sicherheitsforschungs- und Datenwissenschaftsteams entdeckten einen sehr großen Angriff. Apiiro nennt es eine böswillige Repository-Verwirrungskampagne. Die Apiiro-Teams schätzen, dass über 100.000 GitHub-Repositories betroffen sind, möglicherweise sogar Millionen. Leider ist dies nicht das erste Mal, dass wir über die Nutzung von GitHub durch böswillige Akteure berichten müssen. Vor ein paar Monaten haben wir darüber gesprochen, wie GitHub genutzt wird, um Ransomware zu erleichtern und sogar Befehls- und Kontrollkanäle für Ransomware-Angriffe zu schaffen.
Diese Angriffe sind weder übermäßig kompliziert noch schwer zu stoppen. Das Problem ist, dass die Angriffe in einem so alarmierenden Tempo stattfinden, dass GitHub offenbar Probleme hat, mitzuhalten.
Was sind Repository-Confusion-Angriffe?
Die einfache automatische Generierung von Konten und Repos auf GitHub und dergleichen, die Verwendung komfortabler APIs und leicht zu umgehender Soft-Raten-Limits sowie die große Anzahl an Repos, zwischen denen man sich verstecken kann, machen es zu einem perfekten Ziel für verdeckte Infektionen der Software-Lieferkette .
Apiiro
Ein GitHub-Repository ist ein Ort, an dem ein GitHub-Benutzer seinen Code hochladen kann, damit er mit dem Rest der Welt geteilt werden kann. Es gibt sehr beliebte Repositories, die von vielen Menschen häufig gesucht und heruntergeladen werden. Bei einem Watering-Hole-Angriff laden Angreifer beliebte gute Repositories herunter und fügen bösartigen Code hinzu.7 Schichten” “eep„ac“ord“ng“ an Api“ro senden und sie unter demselben Namen erneut auf GitHub hochladen. Anschließend verbreiten sie die gefälschte Version des Repositorys über soziale Medien, Discord und andere Mittel an eine Zielgruppe. Diese Funktionen deuten auf eine Verwässerung hin Lochangriff, der in CyberSecurity sehr häufig vorkommt.
A Watering-Hole-Angriff Dabei zielen Cyber-Angreifer auf Gruppen von Benutzern ab, indem sie Websites infizieren, die diese häufig besuchen. Die Angreifer warten geduldig darauf, dass Benutzer zu diesen manipulierten Websites navigieren, und leiten sie dann auf eine bösartige Website weiter, um ihre Computer zu infizieren und ihnen Zugriff auf das Netzwerk der Organisation zu gewähren.
Sobald diese Angreifer ihre bösartigen Repositories erneut hochladen, nutzen sie die Automatisierung, um sie tausende Male zu forken. Diese Taktik wird ziemlich häufig angewendet. Vor ein paar Jahren erinnerte ich mich an ein trendiges Musikalbum eines bekannten Künstlers und viele Leute versuchten, das Album über Torrent herunterzuladen. Die verbreitete Datei war jedoch bösartig und führte dazu, dass viele Menschen ihre Daten verloren.
Wie infizieren die schädlichen GitHub-Repositorys Ihren PC?
Bild 1 von 3
Apiiro und andere Cybersicherheitsfirmen nennen dies einen Supply-Chain-Angriff, und obwohl das technisch gesehen stimmen könnte, denke ich, dass GitHub kaum als Supply-Chain-Angriff in Frage kommt.
Ein Supply-Chain-Angriff ist ein Cyberangriff, der auf einen vertrauenswürdigen Drittanbieter oder Lieferanten abzielt. “Dabei geht es darum, bösartigen Code in Software einzuschleusen oder Hardwarekomponenten zu kompromittieren, um unbefugten Zugriff auf das Netzwerk oder die Daten eines Unternehmens zu erhalten“, pro Massenstreik.
Normalerweise muss eine Lieferkette von einem Drittanbieter oder Lieferanten mit Zugriff auf Ihre Infrastruktur stammen und nicht von einer Website, die Code hostet, der möglicherweise in der Umgebung eines Unternehmens verwendet wird.
Diese Angriffe verschleiern den Code und Python wird hauptsächlich zur Durchführung der Angriffe verwendet. Sobald die Nutzlast übermittelt wurde und die Schwachstelle ausgenutzt wurde, wird der Code verwendet BlackCap Grabber um Aktionen am Ziel durchzuführen und die gestohlenen Informationen an einen Befehls- und Kontrollserver zu senden. Wenn Sie ein bösartiges GitHub-Repository herunterladen, könnten diese Dinge gestohlen oder auf Ihrem PC ausgeführt werden.
- Browser-Passwörter, Cookies und Browserverlauf
- System Information
- Anmeldedaten von Apps und Tools wie Steam, MetaMask und Exodus
- Es wird auch versucht, TokenProtector zu umgehen
- Kapern der Windows-Zwischenablage, um Kryptowährungsadressen zu ändern und deren Inhalt durch die Wallet-Adresse des Angreifers zu ersetzen (neben anderen Funktionen)
Was kann Microsoft tun, um GitHub sicher zu machen?
Laut der Meldung, “GitHub wurde benachrichtigt und die meisten bösartigen Repos wurden gelöscht, aber die Kampagne geht weiter und Angriffe, die versuchen, bösartigen Code in die Lieferkette einzuschleusen, werden immer häufiger.“
Dieser Angriff begann im Mai 2023, hat aber exponentiell zugenommen. Bei diesem Angriff scheint es sich um eine wahnsinnige Situation zu handeln, bei der GitHub versuchen muss, diesen Code zu erkennen, nachdem er hochgeladen wurde und möglicherweise erst, wenn es zu spät ist. Da diese Angriffe andauern, könnten immer mehr Benutzer infiziert werden.
Sie können sich wahrscheinlich nicht darauf verlassen, dass Microsoft und GitHub für Ihre Sicherheit sorgen, wenn Sie ein intensiver GitHub-Benutzer sind. Angenommen, Sie möchten überprüfen, ob Ihr PC infiziert ist. Apiiro stellte a VirusTotal-Diagramm mit einigen der entdeckten schädlichen Dateien. Wenn Sie Ihren PC auf diese Dateien überprüfen möchten, wäre das sehr zeitaufwändig.
Suchen Sie in Ihrer PC-Umgebung nach Python-Mustern, die mit diesen Codezeichenfolgen übereinstimmen:
- exec(Fernet
- exec(Anfragen
- exec(_ _import
- exec(bytes
- exec(“”“\nimport
- exec(kompilieren
- _ _import_ _(“builtins”).exec(
Die beste Vorgehensweise besteht darin, Code in einer Sandbox auszuführen, um Ihren primären PC zu schützen. Suchen Sie nach Code, der mit Social-Media-Plattformen oder Krypto-Wallets kommuniziert. Seien Sie vorsichtig, wenn Sie Code von GitHub herunterladen, bis Microsoft dieses Problem behoben hat.
GitHub ist nicht das einzige Cybersicherheitsproblem, mit dem Microsoft konfrontiert ist.
Im Zeitalter der allgegenwärtigen KI-Integration hat Microsoft eine hervorragende Gelegenheit, interne Sicherheitsmaßnahmen zu priorisieren, bevor es nach außen expandiert. Trotz der Fortschritte in der KI bleibt die Unentbehrlichkeit menschlicher Analysten und Ingenieure bei der Abwehr von Cyber-Bedrohungen an vorderster Front offensichtlich. Da sich die Cybersicherheitslandschaft weiterentwickelt, könnten Personen, die sich für den Einstieg in dieses Gebiet interessieren, hilfreiche Ratschläge finden, wie zum Beispiel unseren Leitfaden für Cybersicherheits-Einsteiger.
Microsoft hat kürzlich Security Copilot auf den Markt gebracht, ein Tool, das angeblich die Leistung von Cybersicherheitsverteidigern verbessern soll. Seine Effektivität hängt jedoch weitgehend von der Kundenbindung ab, was den unkomplizierten Ansatz von Microsoft widerspiegelt, eine Eigenschaft, die oft mit dem Unternehmen in Verbindung gebracht wird, das für seine minimalen Investitionen in den Kundenservice bekannt ist. Dieses Ethos scheint sich auch auf die Cybersicherheit auszudehnen, wo die Bemühungen von Microsoft trotz regelmäßiger Wartung und Updates, wie zum Beispiel Patch Tuesday, größtenteils reaktiv zu sein scheinen.
GitHub, eine Tochtergesellschaft von Microsoft, wurde von Hackern effektiv ausgenutzt, was Fragen über die Fähigkeit des Unternehmens aufwirft, KI für Verteidigungszwecke zu nutzen. Wenn Microsoft jedoch seine Systeme, einschließlich seines Betriebssystems, seiner Server und Tochterunternehmen wie GitHub, stärken kann, kann es weltweite Sicherheitsverletzungen erheblich reduzieren, was allen Beteiligten zugutekommt.