GitHub: Millionen von Repositories potenziell angreifbar

Mehrere Millionen Repositories auf GitHub sind möglicherweise ungeschützt gegenüber Hijacking. Das haben die Cloud-Security-Spezialisten von Aquasec in einem Blogeintrag öffentlich gemacht.
Hochgerechnet 9 Millionen Repositories auf GitHub betroffen
Das Sicherheitsunternehmen hat dazu 1,25 Millionen Repositories auf GitHub ausgewertet. Knapp drei Prozent davon erwiesen sich als ungeschützt gegenüber Hackerangriffen. Hochgerechnet auf die über 300 Millionen Repositories, die auf GitHub angelegt sind, sind also rund neun Millionen Projekte potenziell verwundbar gegenüber sogenanntem RepoJacking.
2 Szenarien für RepoJacking
Beim RepoJacking handelt es sich laut Aquasec um eine Variante eines Supply-Chain-Angriffs. Hacker:innen können dabei über beliebige Dependencies alle damit verknüpften Punkte eines Projekts attackieren und mit schädlichem Code infizieren. So könnten sie nicht nur einzelne Abhängigkeiten, sondern auch ganze Repositories übernehmen. Alle User:innen, die über eine Abhängigkeit mit dem Projekt verbunden sind, könnten ebenfalls geschädigt werden.
Aquasec nennt zwei Szenarien, über die Repositories von RepoJacking getroffen werden können. Einmal ist dies die Änderung eines Nutzernamens. Im anderen Fall kann es geschehen, wenn der Besitz eines Repository auf einen anderen User übergeht, also etwa bei Fusionen und Übernamen von auf GitHub aktiven Unternehmen. In beiden Fällen wird nämlich eine Umleitung auf den neuen Namen erstellt.
Alte Namen von Repositories können von Hacker:innen genutzt werden
Sobald die alten, nicht mehr verwendeten Namen im Internet kursieren, können Hacker:innen sie sich schnappen und ein gleichlautendes Repository erstellen. Darüber können sie die Umleitung umgehen und an jede Dependency oder jeden Code, der mit dem alten Namen verlinkt ist, Malware schicken.
GitHub hat zwar Sicherheitsmaßnahmen installiert, die Repositories bei diesen Szenarien schützen sollen, laut Aquasec gibt es aber Lücken.
Deutsche Gesellschaft für Cybersicherheit: Auch Git war betroffen
Die Enthüllung von Aquasec ist nicht die erste, die auf Sicherheitslücken bei Repositories auf Software-Plattformen hinweist. Bereits 2020 warnte die Deutsche Gesellschaft für Cybersicherheit, dass auf Git 40.000 deutschsprachige Projekte öffentlich zugänglich seien.
Betroffen von den Mängeln bei dem GitHub-Konkurrenten waren Dax-Konzerne, Banken, Hochschulen und Politiker:innen. Größtenteils betrafen die Lücken aber Privatpersonen oder kleinere Unternehmen.
Ich bin neu auf t3n und wüsste gern, wieso selbst aus dem Englischen übernommene Begriffe gegendert werden müssen. Hijacker:innen und Hacker:innen ist sprachlich einfach nur Wirrwarr.
Ich bin neu auf t3n und wüsste gern, warum die englischsprachigen Begriffe gegendert werden müssen. Hijacker:innen und Hacker:innen ist sprachlich einfach nur Wirrwarr.
Echt??? User:innen?? Ihr übertreibt es etwas.