GitHub: Millionen von Repositories potenziell angreifbar
Mehrere Millionen Repositories auf GitHub sind möglicherweise ungeschützt gegenüber Hijacking. Das haben die Cloud-Security-Spezialisten von Aquasec in einem Blogeintrag öffentlich gemacht.
Hochgerechnet 9 Millionen Repositories auf GitHub betroffen
Das Sicherheitsunternehmen hat dazu 1,25 Millionen Repositories auf GitHub ausgewertet. Knapp drei Prozent davon erwiesen sich als ungeschützt gegenüber Hackerangriffen. Hochgerechnet auf die über 300 Millionen Repositories, die auf GitHub angelegt sind, sind also rund neun Millionen Projekte potenziell verwundbar gegenüber sogenanntem RepoJacking.
2 Szenarien für RepoJacking
Beim RepoJacking handelt es sich laut Aquasec um eine Variante eines Supply-Chain-Angriffs. Hacker:innen können dabei über beliebige Dependencies alle damit verknüpften Punkte eines Projekts attackieren und mit schädlichem Code infizieren. So könnten sie nicht nur einzelne Abhängigkeiten, sondern auch ganze Repositories übernehmen. Alle User:innen, die über eine Abhängigkeit mit dem Projekt verbunden sind, könnten ebenfalls geschädigt werden.
Aquasec nennt zwei Szenarien, über die Repositories von RepoJacking getroffen werden können. Einmal ist dies die Änderung eines Nutzernamens. Im anderen Fall kann es geschehen, wenn der Besitz eines Repository auf einen anderen User übergeht, also etwa bei Fusionen und Übernamen von auf GitHub aktiven Unternehmen. In beiden Fällen wird nämlich eine Umleitung auf den neuen Namen erstellt.
Alte Namen von Repositories können von Hacker:innen genutzt werden
Sobald die alten, nicht mehr verwendeten Namen im Internet kursieren, können Hacker:innen sie sich schnappen und ein gleichlautendes Repository erstellen. Darüber können sie die Umleitung umgehen und an jede Dependency oder jeden Code, der mit dem alten Namen verlinkt ist, Malware schicken.
GitHub hat zwar Sicherheitsmaßnahmen installiert, die Repositories bei diesen Szenarien schützen sollen, laut Aquasec gibt es aber Lücken.
Deutsche Gesellschaft für Cybersicherheit: Auch Git war betroffen
Die Enthüllung von Aquasec ist nicht die erste, die auf Sicherheitslücken bei Repositories auf Software-Plattformen hinweist. Bereits 2020 warnte die Deutsche Gesellschaft für Cybersicherheit, dass auf Git 40.000 deutschsprachige Projekte öffentlich zugänglich seien.
Betroffen von den Mängeln bei dem GitHub-Konkurrenten waren Dax-Konzerne, Banken, Hochschulen und Politiker:innen. Größtenteils betrafen die Lücken aber Privatpersonen oder kleinere Unternehmen.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Ich bin neu auf t3n und wüsste gern, wieso selbst aus dem Englischen übernommene Begriffe gegendert werden müssen. Hijacker:innen und Hacker:innen ist sprachlich einfach nur Wirrwarr.
Ich bin neu auf t3n und wüsste gern, warum die englischsprachigen Begriffe gegendert werden müssen. Hijacker:innen und Hacker:innen ist sprachlich einfach nur Wirrwarr.
Echt??? User:innen?? Ihr übertreibt es etwas.