Erpresser übernehmen GitHub-Repositories, greifen Daten ab und löschen Inhalte
Hacker haben vermutlich über Phishing GitHub-Zugangsdaten abgegriffen, die Inhalte der Repositories kopiert und gelöscht und dann die Betroffenen erpresst.
(Bild: evkaz/Shutterstock.com)
Angreifer haben GitHub-Repositories übernommen, deren Inhalte kopiert und anschließend gelöscht. Die Maintainer fanden in den umbenannten Repositories lediglich eine Readme-Datei, die sie dazu auffordert, sich über Telegram bei den Erpressern zu melden.
Offenbar laufen die Attacken bereits seit Februar, und die jüngsten Vorfälle lassen sich auf Anfang Juni datieren. Die Hacker gelangten vermutlich über Phishing an die Zugangsdaten.
Repositories umbenannt und gelöscht
Auf X berichtet der Security-Forscher Germán Fernández Anfang Juni von dem Vorfall. Die Angreifer haben die Repositories der betroffenen Accounts umbenannt, die Inhalte abgegriffen und anschließend gelöscht. Das Readme der Repositories haben sie durch eine kurze Nachricht ausgetauscht, die darauf hinweist, dass die Daten kompromittiert wurden und die Angreifer ein Backup erstellt haben. Anschließend folgt ein Link zu dem Telegram-Account des Users Gitloker, unter dem mehr Informationen zur Verfügung stünden. Gitloker bezeichnet sich auf der Telegram-Profilseite als "Cyber Incident Analyst".
Eine Suche nach dem Link zum Telegram-Account auf GitHub zeigt derzeit noch 44 offen einsehbare Repositories mit der Erpressernotiz in den Readme-Dateien. Dass das reine Löschen der Daten häufig nicht genügt, um Betroffene, die potenziell eine lokale Git-Kopie haben, zum Zahlen zu bewegen, ist den Angreifern offenbar klar.
In einem Issue vom April findet sich ein Schreiben der Erpresser, das – in äußerst höflichem Ton – genauer darüber berichtet, welche Daten in die Hände der Erpresser gelangt seien. Dabei handle es sich doch um äußerst sensible Informationen, die nicht an die Öffentlichkeit gelangen sollten. Man sei aber bereit, die Daten nicht zu veröffentlichen – im Austausch für eine Zahlung von 250.000 USDT-Stablecoins (Tether Krypto-Token), die einen Gegenwert von 250.000 US-Dollar haben.
(Bild: Screenshot (Rainald Menge-Sonnentag))
Phishing nach Zugangsdaten
In einem weiteren Tweet vermutet Fernández, dass die Angreifer die Zugangsdaten über Phishing abgegriffen haben. Offenbar erhielten einige GitHub-User E-Mails, die auf vermeintliche von GitHub stammende Seiten verweisen, die "githubcareers" beziehungsweise "githubtalentcommunity" in der Adresse haben. Den Betroffenen wurden Security-Warnungen oder Jobangebote unterbreitet, für die sie sich auf diesen Seiten mit ihren GitHub-Zugangsdaten anmelden sollten. Auf GitHub finden sich Diskussionsbeiträge mit ähnlichen Vorfällen.
Accounts auf GitHub sind immer wieder Ziel von Angriffen. Häufig geht es den Angreifern dabei nicht einfach darum, die Maintainer zu erpressen, sondern Schadcode einzuschleusen, um die Software Supply Chain anzugreifen.
GitHub fordert zum Schutz seit Längerem zur Anmeldung über Zwei-Faktor-Authentifizierung (2FA) beziehungsweise mit Passkeys auf.
(rme)
