FEHLER!

Böswillige Doppelgänger: Gauner infiltrieren beliebte Repositorys mit schädlichem Code

Apiiro, ein Unternehmen mit Niederlassungen in Israel und den USA, hat in einem äußerst detaillierten und sicherlich nicht einschlaffördernden Blog-Beitrag eine Methode zur Verbreitung von schädlicher Software beschrieben. Und nein, es handelt sich hier nicht um den neuesten Bond-Film, sondern um eine tatsächliche Bedrohung, die über mehrere Monate beobachtet wurde.

Die Gauner hinter dieser Methode haben einen cleveren Trick auf Lager. Sie kopieren einfach das Repository eines beliebten Projekts und fügen dann schädlichen Code hinzu. Aber damit nicht genug! Sie vervielfältigen das Ganze dann in Tausenden von Klon-Repositorien. Das ist wie eine Armee von böswilligen Doppelgängern, die nur darauf warten, ahnungslose Entwickler in ihre Falle zu locken.

Wie machen sie das? Nun, sie schleusen diese Repositories in den Python Package Index (PyPI) ein und bewerben sie in verschiedenen Foren und Social-Media-Kanälen. Das ist wie der perfekte Köder für Entwickler, die nach passenden Bibliotheken suchen. Sie denken, sie haben den heiligen Gral der Codeschnipsel gefunden, aber eigentlich haben sie sich gerade eine Ladung schädlichen Codes eingehandelt.

Der enthaltene Schadcode, der den schaurigen Namen „Apiiro BlackCap-Grabber“ trägt, sammelt dann Anmeldedaten, Cookies und andere vertrauliche Informationen und schickt sie brav an die Command-and-Control-Server der Betrüger. Das ist wie ein Spion, der heimlich Informationen sammelt und sie an seine bösen Meister weitergibt. Richtig fies, oder?

Diejenigen, die diese Vorgehensweise entdeckt haben, berichten, dass GitHub die meisten automatisch generierten Fake-Repositories schnell entfernt. Aber einige manuell erstellte Repositories rutschen durch die Maschen. Das ist, als würde man versuchen, eine Handvoll Sandkörner aus einem riesigen Sandhaufen zu fischen. Es ist einfach nicht möglich, alle zu erwischen.

Im Mai 2023 entdeckte Apiiro erstmals Pakete im Python Paketverzeichnis (PyPI), die auf Forks von GitHub-Repositories verwiesen. Seitdem versuchen die Angreifer immer dreister, manipulierte Software direkt über GitHub zu verbreiten. Sie konzentrieren sich nun vermehrt auf spezialisierte Projekte und hoffen, dass Entwickler zu leichtgläubig sind und fremden Code in ihre eigenen Projekte integrieren.

Es ist nicht überraschend, dass gerade Apiiro über diese Vorgehensweisen berichtet. Schließlich beschäftigt sich das Unternehmen hauptsächlich mit der Sicherheit von Softwareentwicklung für Cloud-Dienste. Sie haben ein besonderes Auge auf Lieferketten und Stücklisten. Das ist wie ein Detektiv für Codesicherheit, der jeden verdächtigen Schnipsel ins Visier nimmt.

Die Diskussion über die Sicherheit von Paket-Repositories wird seit geraumer Zeit geführt. Schließlich sind sie das Tor zur Softwarewelt. Wenn dieses Tor von Gaunern und Schurken missbraucht wird, kann das zu erheblichen Problemen führen. Es ist wie ein Einbrecher, der durch die Hintertür schleicht und das ganze Haus in Gefahr bringt.

Jetzt liegt es an den Entwicklern, wachsam zu sein und nicht blindlings fremden Code in ihre Projekte zu integrieren. Wie sagt man so schön: „Vertrauen ist gut, Kontrolle ist besser.“ In diesem Fall bedeutet das, dass Entwickler ihre Augen offen halten und verdächtige Repositories meiden sollten.

Also, liebe Entwickler, passt auf eure Codeschnipsel auf und lasst euch nicht von bösen Gaunern hereinlegen. Denn in der Welt der Softwareentwicklung ist Vorsicht definitiv besser als Nachsicht.

Schlagwörter: GitHub + Apiiro + PyPI

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 2. März 2024