Zuerst waren nur einzelne GitHub-Repositories mit Malware infiziert. Mittlerweile geraten auch Entwickler und deren Konten direkt in das Visier von Cyberkriminellen.
shutterstock – Stanislavskyi
Die Plattform GitHub sorgt seit geraumer Zeit für negative Schlagzeilen, da ihre Repositories vermehrt mit Malware infiziert sind. Hierdurch versuchen Cyberkriminelle auf Geräte und Daten zuzugreifen.
Jetzt wurden diese Aktivitäten auf Entwickler direkt ausgeweitet. Ziel dieser sogenannten Click-Fix-Kampagne ist es die Kontrolle über die Konten und Codes der Opfer zu erlangen. Einem Bericht des Nachrichtenportals Bleeping Computer zufolge sind über 12.000 GitHub-Repositories hiervon betroffen.
Sicherheit wird zum Unsicherheitsfaktor
Wie die Angreifer vorgehen, entdeckte ein Cybersecurity-Forscher: Wie er auf X mitteilte, fiel ihm eine Welle gefälschter GitHub-Warnungen auf, die Nutzer dazu verleiten sollten, ihre Passwörter und Zwei-Faktor-Authentifizierung (2FA) zu ändern. Die Fake-Meldungen suggerierten ungewöhnliche Zugriffsversuche und empfahlen Sicherheitsmaßnahmen wie Passwort-Updates und Sitzungsverwaltung.
Alle diese Optionen waren jedoch mit Links versehen, die zu einer GitHub-Autorisierungsseite für die OAuth-App „gitsecurityapp“ führten. Diese Autorisierungsseite enthält eine Liste riskanter Berechtigungen, darunter
- den Zugriff auf öffentliche und private Repositories und deren Löschung,
- das Lesen oder Schreiben von Benutzerprofilen,
- das Lesen von Organisationsmitgliedschaften und Projekten sowie
- den Zugriff auf GitHub-Gists.
Island oder doch Nordkorea
Alle gefälschten GitHub-Warnungen enthielten zudem dieselben Anmeldeinformationen – Standort: Reykjavik, Island, IP-Adresse: 53.253.117.8, und Gerät: Unerkannt.
Zum Schutz möglicher Opfer wurden einige Indikatoren für Kompromittierung (IoCs) geteilt – GitHub-Konto: hishamaboshami und App ID: Ov23liQMsIZN6BD8RTZZ.
Der X-Thread fügte außerdem hinzu, dass die gefälschte „Sicherheits-App“ über Render, eine Cloud für das Hosting von Webanwendungen, unter s://github-com-auth-secure-access-token.onrender.com bereitgestellt wurde.
Der X-Beitrag deutete mögliche Verbindungen zu einem Nationalstaat an: Nordkorea ist dafür bekannt, Click-Fix-Angriffe für seine Cyberspionage-Aktivitäten zu nutzen. Contagious Interviews ist eine solche Kampagnen.