1.3.24: GitHub steht vor einem signifikanten Problem mit automatischen böswilligen Forks, die auf Malware-Abhängigkeiten aus dem Python Package Index (PyPI) basieren. Dieses Phänomen begann im Mai 2023, als mehrere schädliche Pakete auf PyPI hochgeladen wurden. Diese Pakete verbreiteten sich dann durch in Forks beliebter GitHub-Repositorys eingefügte os.system(pip install package)
-Aufrufe. Die Kampagne hat sich mittlerweile ausgeweitet und betrifft mindestens 100.000 kompromittierte Repositorys. Die Malware verbreitet sich durch geklonte, legitime Repositorys, die mit Malware-Loadern infiziert und anschließend tausendfach geforkt werden.
Der PyPI-Repository ist bekannt für seine mangelnden Sicherheitsüberprüfungen oder -audits, was es jedem ermöglicht, Module ohne Verifizierung hochzuladen. Dies führte zur Verbreitung von Malware-Paketen wie distrib, djanga und easyinstall, die dazu verwendet wurden, sensible Informationen an externe Hosts zu senden, ausführbare Dateien herunterzuladen und andere bösartige Aktivitäten durchzuführen.
Entwicklerinnen und Entwickler werden dazu angehalten, wachsam zu sein, wenn sie Pakete aus PyPI installieren. Sie sollten die Authentizität von Paketen überprüfen, vertrauenswürdige Quellen für die Installation von Abhängigkeiten nutzen und Sicherheitsmaßnahmen wie automatisiertes Scannen und Überwachen implementieren, um Angriffe in ihrer Software-Lieferkette zu erkennen und zu verhindern.
Das Problem wurde auch in anderen Open-Source-Software-Repositories beobachtet, wo Angreifer Pakete kompromittiert haben, um Zugriff auf Maschinen und Produktionsumgebungen zu erhalten, sensible Daten zu stehlen, Trojaner herunterzuladen und Kryptojacking durchzuführen. Angreifer verwenden häufig Techniken wie Typosquatting, um Entwickler dazu zu verleiten, bösartige Pakete zu installieren.
GitHub arbeitet an Funktionen, um dieses Problem anzugehen, einschließlich der Einführung von Malware-Erkennung und eines Ereignisprotokolls als Grundlage für Benachrichtigungen. Zudem wurden Anstrengungen unternommen, um bösartige Pakete automatisch zu deinstallieren, sobald sie identifiziert werden.
Als Reaktion auf dieses Problem haben Forscher Techniken zur Erkennung und Analyse von Malware in GitHub-Forks entwickelt, was zur Entdeckung und Stilllegung von Repositories geführt hat, die Malware hosten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: