Malware-System in etlichen Github Forks gefunden

frank
Goto Top
Der Sicherheitsforscher und Entwickler Stephen Lacy hat auf Github ein sehr großes Malware-System entdeckt. Der Code der Malware wurde über 35K Codeergebnissen in verschiedenen Forks oder Klone gefunden. Die Malware sammelt sämtliche Umgebungsvariablen eines Skripts, einer Anwendung oder des jeweiligen Rechners und sendet diese an einen Server der Angreifer.

Die Malware wurde dabei auch in mehreren Forks oder Klone der Projekte: crypto, golang, python, js, bash, docker, k8s gefunden. Dazu noch in: npm Skripten und Docker Images, etc.

Auch Zugangs-Schlüssel für Server- oder Cloudzugänge sind mit dabei, die wohl bereits aktiv zur Codeausführung genutzt werden: https://twitter.com/stephenlacy/status/1554712801897091072

Hier sein Twitter-Feed zur Malware: https://twitter.com/stephenlacy/status/1554697077430505473

Update: Das Sicherheitsteam von Github hat inzwischen damit begonnen, den Malware-Code auf der Plattform zu finden und zu entfernen.

Content-Key: 3534305807

Url: https://administrator.de/contentid/3534305807

Ausgedruckt am: 18.08.2022 um 23:08 Uhr

Mitglied: C.R.S.
C.R.S. 03.08.2022 um 17:12:08 Uhr
Goto Top
Eine detaillierte Darstellung, was passiert ist: https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hac ...
Mitglied: Frank
Frank 03.08.2022 um 17:34:41 Uhr
Goto Top
Ich habe den Beitrag an die neuesten Erkenntnisse zur Malware angepasst.
Mitglied: holliknolli
holliknolli 04.08.2022 um 21:00:44 Uhr
Goto Top
wenn du merkst es geht nicht mehr, kam von irgendwo ne GPO daher.
;)
ne, mal im Ernst. Wenn es nicht zu viele Templates sind, weg damit und die aktuellen neu installieren. Abgesehen davon, was soll alles eingestellt werden. Jede GPO macht nichts anderes als Registry-Einstellungen zu verändern und Registry-Einstellungen lassen sich standardmäßig ohne jegliche ADM(X)-Templates ändern, ersetzen oder löschen - man muss halt nur lange genug danach suchen und braucht eigentlich keine Templates.
Mitglied: Frank
Frank 05.08.2022 um 15:06:36 Uhr
Goto Top
Zitat von @holliknolli:

wenn du merkst es geht nicht mehr, kam von irgendwo ne GPO daher.
;)
ne, mal im Ernst. Wenn es nicht zu viele Templates sind, weg damit und die aktuellen neu installieren. Abgesehen davon, was soll alles eingestellt werden. Jede GPO macht nichts anderes als Registry-Einstellungen zu verändern und Registry-Einstellungen lassen sich standardmäßig ohne jegliche ADM(X)-Templates ändern, ersetzen oder löschen - man muss halt nur lange genug danach suchen und braucht eigentlich keine Templates.

Sicher das dein Kommentar zum Beitrag passt?

GPO (Microsoft's Group Policy Object)?

Gruß
Frank