Der Sicherheitsforscher Stephen Lacy hat eine Malware entdeckt, die sich beim Codehoster Github tausendfach verbreitet. Sie soll bereits etwa 35.000-mal vorhanden sein. Eingeschmuggelt wird sie \u00fcber einfache Pull-Requests.<\/p>\n
Das Ziel der Malware besteht Lacy zufolge darin, Daten von Entwicklern und Nutzern der befallenen Anwendungen abzugreifen und auf Server der Angreifer zu leiten. Die Malware versucht, s\u00e4mtliche Umgebungsvariablen des befallenen Programms auszulesen und zu kopieren. So k\u00f6nnen zahlreiche Informationen \u00fcber die befallenen Rechner abgegriffen werden, die sich in der Folge weiterverwenden lassen. Zu den abgegriffenen Daten, die laut Lacy bereits verwendet werden, z\u00e4hlen etwa Schl\u00fcssel f\u00fcr Server und Clouds.<\/p>\n
Zu Github gelangt die Malware dabei auf unterschiedlichen Wegen. Teilweise werden echte Open-Source-Projekte kopiert und mit der Malware angereichert. Die F\u00e4lschung wird anschlie\u00dfend bei Github hochgeladen und kann nur schwer vom Original unterschieden werden. Ebenfalls h\u00e4ufig gelangt der Schadcode \u00fcber Pull-Requests in Open-Source-Projekte, die bei Github gehostet werden. Die Pull-Requests geben sich etwa als harmlose \u00c4nderungen von Versionsnummern oder \u00e4hnlichen Details aus und werden vielfach ohne weitere Pr\u00fcfung zugelassen \u2013 was zur Folge hat, dass der Schadcode fortan mit dem Programm heruntergeladen wird.<\/p>\n
Die Entwickler der Schadsoftware vertrauen bei letztgenanntem Vorgehen darauf, dass die Anbieter der Open-Source-Projekte \u00fcberlastet sind und kleinere \u00c4nderungen ohne genauere Pr\u00fcfung durchwinken. Allem Anschein nach ist dieses Vorgehen in vielen F\u00e4llen erfolgreich. Lacy empfiehlt den Anbietern die Nutzung von GPG-Signaturen f\u00fcr ihre Codes, um vor derartigen Eingriffen gesch\u00fctzt zu sein.<\/p>