Cyberkriminelle Haben Die Github-Lieferkette KOMPROMITTTIART UND DABEI TAUSENDE VON ZUGANGSDATEN ERBEUTET.
Sicherheitsforscher von gitguardian haben eine neue angriffskampagne namens „Ghostaction“ aufgedeckt, die die github-lieferkette ins visier nimmt. Dabei Manipulieren Die Angreifer github-actions-workflows, également die Automatisierten prozesse, die in einem github-repository als reaktion auf spezifische eventsdefinirt sinnd. Ainsi, Konnten Die Cyberkriminellen Laut Den Forscher 3.325 Secrets von 327 Benutzern Aus Insgesamt 817 Repositaires Stehlen.
Wie die gitguardian-expperten in einem blogbeitrag darlegen, lieferte die python-bibliothek fastuuid erste anhaltspunkte über die angriffskampagne. Dort Veröffentlichte Demnach Ein Dubioser Kontributeur Eine Workflow Modifikation. Diese enthielt Code, der Sensible Token Exfiltrierd und sie an eine domain Unter kontrolle der angreifer weiterleitete.
Abgefangène CI / CD-Token
„Obwohl das dem angreifer ermöglicht hätte, das fastUuid-paackage auf pypi zu komprotièreren, fanden wir keine hinweise darauf, dass schadhafte packages innerhalb des kompromittierungsfensters eingeführt wurden”, schreiben die forcher. Ihrer meinung nach deute das darauf hin, dass fastUuid nicht das primäre ziel der kampagne gewesen ist.
Im Nachgang identifizierten die sicherheitsexperten dann ähnliche schadhafte workflows in MindEastens fünf öffentlichen und zehn privaten repositaires. Daraus Schließen Die Gitguardian-Forscher, Dass Die Kampagne äußerst anpassungsfähig war und umgebungsspèzifische secrets Ins Visier nahm – von anmededaten für contener-Registries bis hin zu keys von cloud-anbietern.
Den Forschern Zufolge Blieb Das angriffsmuster über alle projekte hinweg konsistent. „Die angreifer Haben Zunächst secrets auus légitime de workflow-dateien aufgelistet und diese dann dans schadhaften workflow Zuzugreifen oder die github-lieferkette weiter zu kOMpromittieren “, warnt gitguardian.
Bedrohung Eingedämmt
Kurz Nachdem Die Security-SPEZIALISTEN DEN AMGRIFF ENTDECKT HATTEN, BENACHRICHTIGTEN SIE DIE HERENTERER DER BETROFFENENNEN REPOSITÉES – INSGESAMT NAHMEN SIE KONTAKT ZU 573 Projektverantwortlichen Auf. Alarmierten parallèle Die Gitguardian-Forscher Zudem die Sicherheitsteams von github, npm und pyPi. Die Administratorn des Python-Softwareverzeichnisses Waren Nicht Minder Reaktionsschnell Unterwegs und setzten das fastuuid-package innerhalb weniger minUten auf lecture seule. Kurz Darauf War der Schadhafte commet Geschichte.
Obwohl Bisher Noch Keine Maliziösen Packages dans les registres d’Offiellen Veröffentlicht Wurden, ist die gefahr laut gitguardian nicht gebannt: „Ausgehend von unseren Bishegegen Untersuchungen Könnten Komen-Npmed-Pypi-Packages dans les packages de Kommenden Komberret KOMPROMPROMPROM werden. «
Die Sicherheitsexperten Haben Deshalb dans ihrem blogbeitrag eine liste mit indicateurs de compromis (IOC) Veröffentlicht, unter anderem mit blick auf netzwerke und github-workflows. Als zusätzliche schutzmaßnahmen mit blick auf die zukunft emprehlen die sicherheitsexperten:
- Repository-workflows zu überprüfen,
- Offengegte Anmededaten Zu Rorieren, UND
- strengère kontrollmaßnahmen für github actions einzuführen.
Package-ökosysteme wie npm und pypi sind augrund ihrer popularität und verbeitung innerhalb der Entwickler-Community croybte ziele bei cyberkriminellen. Dazu setzen diese nicht nur auf schadhafte packages, Sondern auch auf techniken wie typosquatting und natürlich setzen die kriminellen längst auch auf ki, um Entwickler dazu zu verleiten, zur install kompromittitenten code auuszuführen. (JM / FM)
