Forscher von Socket schlagen Alarm wegen eines großen Supply-Chain-Angriffs, der Hunderte GitHub-Repositories betrifft. Laut dem Sicherheitsunternehmen enthalten mehr als 700 Repositories bösartige Skripte, die unbemerkt Malware installieren, sobald Entwickler Dependencies herunterladen. Der Angriff betrifft sowohl Node.js-Projekte als auch beliebte PHP-Pakete auf Packagist.
Untersuchungen zeigen, dass die Angreifer ein verborgenes Postinstall-Skript zu package.json-Dateien hinzufügen. Sobald ein Entwickler npm install oder eine vergleichbare Dependency-Installation ausführt, lädt das Skript automatisch eine externe Linux-Datei von GitHub herunter. Anschließend speichert es die Malware als /tmp/.sshd und führt den Prozess unauffällig im Hintergrund aus.
Beliebte Laravel-Templates betroffen
Laut Socket wurden mindestens acht PHP-Pakete auf Packagist als infiziert bestätigt. Auffällig ist, dass die Angreifer den schädlichen Code nicht in composer.json, sondern gezielt in package.json verstecken. Dadurch übersehen viele PHP-Entwickler ihn während Code-Reviews leicht.
Die größten Risiken bestehen bei den beliebten Laravel-Starter-Kits devdojo/wave und devdojo/genesis. Besonders Wave zieht mit rund 6.400 GitHub-Sternen viel Aufmerksamkeit auf sich. Genesis verzeichnet mehr als 9.100 Installationen auf Packagist.
Entwickler, die diese Templates installieren, führen das bösartige Skript direkt während der Installation der Dependencies aus. Laut Socket laden die Skripte anschließend eine Datei namens gvfsd-network von einer GitHub-Releases-Seite herunter.
Malware tarnt sich als Systemprozess
Der Angriff verwendet mehrere Techniken, um eine Entdeckung zu vermeiden. So deaktiviert das Skript die TLS-Verifizierung über curl -k, unterdrückt Fehlermeldungen mit 2>/dev/null und verwendet einen versteckten Dateinamen, der wie ein normaler Linux-Prozess aussieht.
Die bösartige Datei wird als /tmp/.sshd gespeichert, was stark an einen legitimen SSH-Daemon erinnert. Anschließend macht das Skript die Datei mit chmod ausführbar und startet sie direkt im Hintergrund.
Forscher bringen den Angriff mit dem GitHub-Account parikhpreyash4 und dem Repository systemd-network-helper-aa5c751f in Verbindung. Socket meldet, dass die zweite Payload inzwischen offline genommen wurde, die erste Installationsphase jedoch bereits ausreichende Beweise für eine aktive Malwarekampagne liefert.
Angriff verbreitet sich auch über GitHub Actions
Die Forscher entdecken außerdem, dass dieselbe Payload auch in GitHub-Actions-Workflows auftaucht. In mehreren Repositories fügen Angreifer einen gefälschten Schritt unter dem Namen „Dependency Cache Sync“ hinzu. Dadurch können nicht nur Entwicklerrechner infiziert werden, sondern auch CI/CD-Server von Unternehmen.
Packagist entfernt die infizierten Pakete inzwischen, doch laut Socket könnten einige Branch-Versionen wie dev-main, dev-master und 3.x-dev erneut infiziert werden, solange die ursprünglichen Repositories nicht vollständig bereinigt wurden.
Sicherheitsexperten raten Entwicklern daher, nicht nur composer.json zu überprüfen, sondern auch package.json-Dateien und GitHub-Workflow-Skripte gründlich zu inspizieren. Der Fall passt zu den allgemeineren Sorgen über Angriffe über Supply Chains und digitale Sicherheit.
10 Euro kostenloses Bitcoin-Guthaben sichern
In Zusammenarbeit mit Bitvavo, einer der größten europäischen Krypto-Exchanges, dürfen wir unseren Besuchern 10 Euro in Bitcoin oder eine andere Kryptowährung schenken. Zusätzlich können Sie bis zu 10.000 € innerhalb der ersten 7 Tage nach Ihrer Registrierung komplett provisionsfrei handeln.
Starten Sie noch heute Ihr Abenteuer mit 10 Euro kostenlosem Bitcoin-Guthaben (eine Mindesteinzahlung von 10 € ist erforderlich) und erstellen Sie ein Konto über den untenstehenden Button. Die vollständigen Bedingungen zu dieser Aktion finden Sie auf der Aktionsseite.
Bitvavo verfügt über eine MiCA-Lizenz und bietet mehr als 400 Kryptowährungen an.