Anzeige
Anzeige
News

GitHub: Millionen von Repositories potenziell angreifbar

Der Bericht einer Cloud-Security-Firma enthüllt: Circa neun Millionen Repositories stehen ungeschützt gegen Hijacking auf GitHub. Es gibt zwei Szenarien, über die sich Hacker:innen in Projekte einschleichen könnten.

Von Sebastian Milpetz
2 Min.
Artikel merken
Anzeige
Anzeige
Viele Repositories bei GitHub könnten ins Visier von Hacker:innen geraten. (Foto: IB Photography/Shutterstock)

Mehrere Millionen Repositories auf GitHub sind möglicherweise ungeschützt gegenüber Hijacking. Das haben die Cloud-Security-Spezialisten von Aquasec in einem Blogeintrag öffentlich gemacht.

Anzeige
Anzeige

Hochgerechnet 9 Millionen Repositories auf GitHub betroffen

Das Sicherheitsunternehmen hat dazu 1,25 Millionen Repositories auf GitHub ausgewertet. Knapp drei Prozent davon erwiesen sich als ungeschützt gegenüber Hackerangriffen. Hochgerechnet auf die über 300 Millionen Repositories, die auf GitHub angelegt sind, sind also rund neun Millionen Projekte potenziell verwundbar gegenüber sogenanntem RepoJacking.

2 Szenarien für RepoJacking

Beim RepoJacking handelt es sich laut Aquasec um eine Variante eines Supply-Chain-Angriffs. Hacker:innen können dabei über beliebige Dependencies alle damit verknüpften Punkte eines Projekts attackieren und mit schädlichem Code infizieren. So könnten sie nicht nur einzelne Abhängigkeiten, sondern auch ganze Repositories übernehmen. Alle User:innen, die über eine Abhängigkeit mit dem Projekt verbunden sind, könnten ebenfalls geschädigt werden.

Anzeige
Anzeige

Aquasec nennt zwei Szenarien, über die Repositories von RepoJacking getroffen werden können. Einmal ist dies die Änderung eines Nutzernamens. Im anderen Fall kann es geschehen, wenn der Besitz eines Repository auf einen anderen User übergeht, also etwa bei Fusionen und Übernamen von auf GitHub aktiven Unternehmen. In beiden Fällen wird nämlich eine Umleitung auf den neuen Namen erstellt.

Alte Namen von Repositories können von Hacker:innen genutzt werden

Sobald die alten, nicht mehr verwendeten Namen im Internet kursieren, können Hacker:innen sie sich schnappen und ein gleichlautendes Repository erstellen. Darüber können sie die Umleitung umgehen und an jede Dependency oder jeden Code, der mit dem alten Namen verlinkt ist, Malware schicken.

Anzeige
Anzeige

GitHub hat zwar Sicherheitsmaßnahmen installiert, die Repositories bei diesen Szenarien schützen sollen, laut Aquasec gibt es aber Lücken.

Deutsche Gesellschaft für Cybersicherheit: Auch Git war betroffen

Die Enthüllung von Aquasec ist nicht die erste, die auf Sicherheitslücken bei Repositories auf Software-Plattformen hinweist. Bereits 2020 warnte die Deutsche Gesellschaft für Cybersicherheit, dass auf Git 40.000 deutschsprachige Projekte öffentlich zugänglich seien.

Anzeige
Anzeige

Betroffen von den Mängeln bei dem GitHub-Konkurrenten waren Dax-Konzerne, Banken, Hochschulen und Politiker:innen. Größtenteils betrafen die Lücken aber Privatpersonen oder kleinere Unternehmen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
3 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

DrJM

Ich bin neu auf t3n und wüsste gern, wieso selbst aus dem Englischen übernommene Begriffe gegendert werden müssen. Hijacker:innen und Hacker:innen ist sprachlich einfach nur Wirrwarr.

Antworten
DrJM

Ich bin neu auf t3n und wüsste gern, warum die englischsprachigen Begriffe gegendert werden müssen. Hijacker:innen und Hacker:innen ist sprachlich einfach nur Wirrwarr.

Antworten
Es-gibt-wichtigere-Probleme-als-gendergerechte-Sprache

Echt??? User:innen?? Ihr übertreibt es etwas.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige