Warnung vor Cybersicherheitsbedrohungen: Angriff auf die Lieferkette von GitHub

Böswillige Akteure haben einen Angriff auf die Software-Lieferkette gestartet, der sich gegen Entwickler auf der GitHub-Plattform richtet. Barracuda empfiehlt, die in diesem Cybersecurity Threat Advisory beschriebenen proaktiven Maßnahmen zu ergreifen, um das Risiko zu mindern.

Welcher Art ist die Bedrohung?

Für den Angriff wurden unterschiedliche Techniken eingesetzt. Dazu gehörten beispielsweise die Übernahme von Konten durch gestohlene Browser-Cookies und die Bereitstellung von Schadcode mit verifizierten Commits auf GitHub. Dazu gehörte auch das Einrichten eines benutzerdefinierten Python-Spiegels und das Veröffentlichen schädlicher Pakete im PyPI-Register (Python Package Index) mit der Verknüpfung mit beliebten Projekten auf GitHub. Mittels Typo Squatting wurde das bösartige Python-Paketspiegelregister als „files[.]pypihosted[.]org“ getarnt, das dem offiziellen Python-Spiegel „files.pythonhosted.org“ sehr ähnelt. Hier befinden sich normalerweise die offiziellen Artefaktdateien von PyPI-Paketen.

Diese Technik führte zur Bereitstellung einer manipulierten Kopie von Colorama, einem Paket, das von Entwickler:innen verwendet wird, um Text in Terminalausgaben mit Farbe und Stil zu versehen. Die Bedrohungsakteure waren in der Lage, einen stillen Angriff auf die Software-Lieferkette zu starten, der Passwörter, Zugangsdaten und andere Daten von infizierten Systemen stahl, die auf Entwickler:innen abzielten.

Warum sollte man aufmerksam sein?

Millionen von Menschen nutzen GitHub und Colorama, was die potenziellen Auswirkungen dieses Angriffs auf die Lieferkette erhöht. Nicht autorisierte Codeänderungen können ebenfalls schädliche Auswirkungen haben.

Wie hoch ist Risiko einer Exposition?

Die feindseligen Ressourcen können eine Vielzahl von Informationen stehlen, darunter Daten von Browsern wie Edge, Chrome, Opera und Yandex. Zu den Daten gehören Informationen zum automatischen Ausfüllen, Cookies, Kreditkarten, Anmeldedaten und der Browserverlauf. Sie können auch in Discord eindringen und nach Token suchen, die sie entschlüsseln können, um Zugang zum Konto des Opfers zu erhalten und Kryptowährungs-Wallets zu stehlen, Telegram-Daten abzugreifen und Computerdateien zu exfiltrieren. Außerdem versuchen sie, mithilfe eines Sitzungs-Tokens sensible Informationen aus Instagram-Dateien zu stehlen und kann die Tastatureingaben der Opfer protokollieren, wodurch Informationen wie Passwörter, persönliche Nachrichten und finanzielle Details offengelegt werden.

Welche Empfehlungen haben Sie?

Barracuda empfiehlt die folgenden Maßnahmen, um die Auswirkungen dieses Lieferkettenangriffs einzuschränken:

• Überprüfen Sie Abhängigkeiten und Ressourcen, bevor Sie mit ihnen interagieren.
• Überwachen Sie verdächtige Netzwerkaktivitäten.
• Sorgen Sie für eine angemessene Sicherheitshaltung, um das Risiko und die Auswirkungen dieses Angriffs zu mindern.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

• https://securityboulevard.com/2024/03/complex-supply-chain-attack-targets-github-developers/
• https://medium.com/@demonia/discovering-malwares-in-public-github-repositories-3e080f030ecc
• https://www.theregister.com/2024/03/25/python_package_malware/

Hinweis: Dies wurde ursprünglich über SmarterMSPveröffentlicht.