Christine Schönig, Check Point, zu Supply-Chain-Attacken
GitHub-Verzeichnisse im Visier von Angreifern
Anfang August wurde ein Angriff auf Tausende GitHub-Verzeichnisse bekannt – und damit auf die gesamte Software-Lieferkette dieser Open Source Community. Der Vorfall rückte das Risiko von Supply-Chain-Angriffen wieder ins Bewusstsein. Eine stärkere Ausbreitung des Angriffs ließ sich verhindern, doch die Schäden wirken nach und sollten zu denken geben.
GitHub, mit über 83 Millionen Entwicklern die größte offene Entwickler-Community der Welt, ermöglicht es Programmierern, gemeinsam an Code-Repositories zu arbeiten, sodass andere zu Codes beitragen können, die nicht von ihnen selbst stammen. Der Eigentümer des ursprünglichen Codes hat die volle Kontrolle darüber, ob er die von einem anderen Mitglied der Gemeinschaft vorgenommenen Änderungen akzeptiert oder ablehnt. Dabei ist es üblich, dass Entwickler die Code-Repositories herunterladen und die Befehlszeilen in ihren eigenen Anwendungen verwenden.
Will ein Programmierer den Code eines anderen Entwicklers erheblich verändern, verwendet er stattdessen die Klonfunktion von GitHub. Damit kann er eine Kopie erstellen, wobei die ursprüngliche Version unter der Verwaltung des ursprünglichen Autors unangetastet bleibt. Sie behält auch ihre Interaktionsstatistik zu Aufrufen, Beiträgen oder Nutzern, während die geklonte Version unter neuer Leitung steht und keine Interaktionsstatistik hat, da es sich im Grunde um neuen Code handelt.
Kürzlich hat ein Hacker mehr als 35.000 dieser GitHub-Repositories geklont und sie mit dem ursprünglichen Quellcode identisch gehalten, aber bösartige Befehlszeilen hinzugefügt. Diese waren in der Lage, ein detailliertes Profil der Umgebung zu sammeln, in der sie ausgeführt wurden. Der Code konnte die Identität des Geräts, die Identität des Benutzers und möglicherweise andere sensible Daten sammeln. Noch wichtiger ist, dass dies die Möglichkeit bot, zusätzlich Malware von einer Website herunterzuladen. Dieses Schadprogramm konnte jede Anwendung oder Umgebung ausnutzen, die den Code aus den Klonen verwendete oder ausführte.
Die Entwickler-Community identifizierte das bösartige Implantat in einer Codesammlung, die von GitHub heruntergeladen wurde. Sie befürchtete sofort, dass der Quellcode aus den ursprünglichen Repositories ebenfalls mit Malware infiziert worden war. Bei weiteren Untersuchungen stellte sich jedoch heraus, dass wirklich nur die Klone infiziert wurden, da sie dem Nutzer vortäuschen sollten, er lade das Original herunter. Dieser Kniff kann katastrophale Auswirkungen auf die Software-Lieferkette haben, wenn ein Entwickler irrtümlich ein geklontes Code-Repository mit Schadcode herunterlädt, es für seine eigenen Zwecke verwendet und dann unwissentlich seinen Benutzern ein mit Malware infiziertes Programm zur Verfügung stellt.
Mittlerweile gehen viele Entwicklungsteams endlich dazu über, IT-Sicherheit früh in den Entwicklungsprozess zu integrieren und Sicherheitskräfte mit automatisierten Tools für DevOps auszustatten. So sollen Anwendungen oder Geräte ab Werk einen gewissen Standard an IT-Sicherheit erfüllen. Allerdings geht dieses Umdenken noch zu langsam voran.
Den Zwischenfall in GitHub sollte man als Versuch verstehen, zahllose Umgebungen und Anwendungen auf ebenso einfache wie hinterlistige Weise anzugreifen. Er ist ein gutes Beispiel, warum die Sicherheit der Software-Lieferkette ebenso wichtig ist wie die der physischen Lieferkette zwischen Zulieferer und Konzern. Bindet man IT-Sicherheit frühzeitig in die Entwicklung ein, ist sie keine Bremse, sondern eine Versicherung, dass bei der Veröffentlichung des Projekts keine böse Überraschung wartet.
Christine Schönig ist Regional Director Security Engineering CER im Office of the CTO bei Check Point Software Technologies.
Lesen Sie mehr zum Thema
