Eine neue Cyberangriffskampagne wurde von Sicherheitsforschern entdeckt. Die Angreifer veröffentlichen bösartige Pakete in Repositories wie RubyGems und dem Go-Modulregister. Durch deren Integration in Projekte führen sie versteckten Code aus, der in Continuous-Integration-Umgebungen gespeicherte Anmeldeinformationen stiehlt und so interne Systeme sowie Cloud-Dienste gefährdet.
Der Mechanismus des Angriffs: Abhängigkeiten, die verraten 🛡️
Die Angreifer injizieren bösartigen Code in Ruby-Gems und Go-Module, getarnt als legitime Bibliotheken. Wenn ein Entwickler diese herunterlädt und in seine CI-Pipeline integriert, wird der versteckte Code während der Build-Phase ausgeführt. Diese Malware extrahiert Umgebungsvariablen, Zugriffstoken und gespeicherte SSH-Schlüssel. Die gestohlenen Anmeldeinformationen ermöglichen den Zugriff auf Coderepositories, interne Systeme und Cloud-Dienste, ohne sofortigen Verdacht zu erregen.
Der Entwickler, der einem Gem vertraute und seine Pipeline verlor ☕
Denn klar, was könnte schon schiefgehen, wenn man ein Gem namens ruby-utils-pro-max herunterlädt, das verspricht, den eigenen Code um 500 % zu optimieren. Die Angreifer wissen, dass Entwickler öffentlichen Repositories blind vertrauen. Jetzt heißt es neben dem Überprüfen von Logs und dem Aktualisieren von Abhängigkeiten auch noch zu beten, dass das Gem, das man um 3 Uhr morgens heruntergeladen hat, nicht gerade die eigenen Anmeldeinformationen stiehlt, während man Kaffee trinkt.