Einführung
Seit Februar sind schädliche Attacken auf GitHub-Repositories im Gange. Angreifer kopieren Inhalte von Repositories und löschen diese dann. Maintainer finden in den übernommenen Repositories nur noch eine Readme-Datei mit Anweisungen, sich über Telegram bei den Erpressern zu melden.
Vorgehensweise der Angreifer
Ein Sicherheitsforscher namens Germán Fernández berichtete Anfang Juni von solchen Vorfällen. Die Hacker benennen die Repositories um kopieren die Inhalte und löschen sie dann. Eine Nachricht ersetzt die ursprüngliche Readme-Datei. Sie informiert; dass die Daten kompromittiert wurden und ein Backup existiert. Ein Telegram-Link führt zu einem Account namens "Gitloker" der weitere Informationen bereithält und sich als "Cyber Incident Analyst" bezeichnet.
Umfang der Angriffe
GitHub zeigt 44 Repositories mit der genannten Erpressernotiz. Das bloße Löschen der Daten überzeugt viele Betroffene nicht zur Zahlung, da sie möglicherweise eine lokale Kopie ihrer Daten haben. Daher versuchen die Erpresser andere Taktiken.
Forderungen der Erpresser
Im April erschien ein Schreiben der Angreifer. Höflich wird darin erläutert welche sensiblen Daten sie erbeutet haben. Im Austausch gegen 250.000 USDT-Stablecoins — identisch 250.000 US-Dollar — versprechen sie die Daten nicht zu veröffentlichen.
Phishing-Attacken
Fernández geht davon aus. Dass Zugangsdaten per Phishing erbeutet wurden. Angreifer versenden E-Mails mit Links zu vermeintlichen GitHub-Seiten wie "githubcareers" oder "githubtalentcommunity". Betroffene sollten sich auf diesen Seiten mit ihren GitHub-Zugangsdaten anmelden. Diskussionen auf GitHub weisen auf ähnliche Vorfälle hin.
Schutzmaßnahmen
Accounts auf GitHub sind oft Ziel von Angriffen. Dabei geht es nicht nur um Erpressung allerdings ebenfalls um das Einfügen von Schadcode zur Gefährdung der Software Supply Chain. GitHub fordert seit Langem zur Nutzung von Zwei-Faktor-Authentifizierung (2FA) oder Passkeys auf - um Accounts besser zu schützen.
---
Unter dem Strich zeigt diese Serie von Angriffen, ebenso wie wichtig Sicherheitsmaßnahmen und die Wachsamkeit der Nutzer sind.
Kommentare