Im März 2024 wurde eine hochentwickelte Malware-Kampagne aufgedeckt, die gezielt auf Open-Source-Projekte auf der GitHub-Plattform abzielt. Die Angreifer nutzen dabei ausgeklügelte Techniken, um schadhaften Code über getarnte Pull Requests in legitime Softwareprojekte einzuschleusen.
Technische Details der Angriffsmethode
Die Kampagne wurde zunächst durch Alex Hima, Mitbegründer des KI-Startups Exo Labs, entdeckt. Die Analyse des schadhaften Codes zeigt eine besonders raffinierte Vorgehensweise: In der Datei models.py wurde eine numerische Sequenz identifiziert, die sich bei der Dekodierung als bösartiges Python-Skript entpuppt. Dieses Skript ermöglicht Remote-Code-Execution und könnte Angreifern vollständigen Zugriff auf kompromittierte Systeme gewähren.
Betroffene Projekte und Ausmaß der Bedrohung
Sicherheitsforscher von Malcore haben mindestens 18 verschiedene kompromittierte Pull Requests identifiziert. Zu den anvisierten Repositories gehört unter anderem das populäre Tool yt-dlp. Die Untersuchungen deuten darauf hin, dass die Angriffe hauptsächlich von Accounts aus dem indonesischen Raum orchestriert wurden.
Social Engineering als Schlüsselkomponente
Die Angreifer setzen auf eine komplexe Identitätsverschleierung und geben sich als renommierte Sicherheitsforscher aus. Besonders auffällig ist die Imitation des bekannten Security-Experten Mike Bell. Die Accounts evildojo666 und darkimage666 wurden dabei nicht nur zur Verbreitung des Schadcodes genutzt, sondern auch zur gezielten Rufschädigung.
Diese Angriffsserie unterstreicht die wachsende Bedrohung für die Open-Source-Supply-Chain. Entwickler und Projektbetreiber sollten ihre Sicherheitsmaßnahmen verstärken, indem sie automatisierte Code-Analyse-Tools implementieren, strikte Code-Review-Prozesse einführen und die Verwendung von signierter Commits sowie Multi-Faktor-Authentifizierung zum Standard machen. Besondere Aufmerksamkeit sollte dabei der Verifizierung von Contributor-Identitäten und der gründlichen Überprüfung jeglicher Code-Änderungen gewidmet werden.
