{"id":31264,"date":"2024-05-15T13:21:52","date_gmt":"2024-05-15T11:21:52","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31264"},"modified":"2024-05-15T13:21:52","modified_gmt":"2024-05-15T11:21:52","slug":"beware-github-malicious-links","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/beware-github-malicious-links\/31264\/","title":{"rendered":"Malware-Alarm f\u00fcr „offizielle“ GitHub- und GitLab-Links"},"content":{"rendered":"

Sicher kennst du den uralten Sicherheitstipp \u201eSoftware nur aus offiziellen Quellen herunterladen!\u201c Als \u201eoffiziell\u201c gelten normalerweise die wichtigsten App-Shops der jeweiligen Plattformen. F\u00fcr Millionen n\u00fctzlicher und kostenloser Open-Source-Apps ist die \u201eoffiziellste\u201c Quelle jedoch das Repository des Entwicklers auf speziellen Websites wie GitHub oder GitLab. Dort findest du den Quellcode des Projekts, Code-Korrekturen, Erg\u00e4nzungen und oft auch eine gebrauchsfertige Version der App. Diese Websites kennen alle, die sich auch nur ein bisschen f\u00fcr Computer, Software und Programmierung interessieren. Nun hat sich herausgestellt, dass eine Datei, die unter einem Link wie github{.}com\/{Benutzername}\/{Repo-Name}\/files\/{Datei-ID}\/{Dateiname}<\/em> verf\u00fcgbar ist, nicht nur vom Entwickler stammen kann, sondern auch von anderen Personen. Zudem kann darin alles M\u00f6gliche enthalten sein. Dies war nicht nur f\u00fcr Entwickler eine unangenehme \u00dcberraschung, sondern auch f\u00fcr viele IT-Sicherheitsspezialisten.<\/p>\n

Und auch Cyberkriminelle machten sich diese Erkenntnis nat\u00fcrlich sofort zunutze.<\/p>\n

Anatomie des Problems<\/h2>\n

GitHub und sein enger Verwandter GitLab dienen der Zusammenarbeit an Softwareentwicklungsprojekten. Ein Entwickler kann seinen Code hochladen, und andere Nutzer k\u00f6nnen Erg\u00e4nzungen und Fixes anbieten oder sogar Forks erstellen \u2013 alternative Versionen der App oder einer Bibliothek. Wer in einer App einen Fehler findet, kann ihn \u00fcber einen Problembericht an den Entwickler melden. Andere Nutzer k\u00f6nnen das Problem in Kommentaren best\u00e4tigen. Eine Kommentarfunktion gibt es auch f\u00fcr neue Versionen der App. Bei Bedarf k\u00f6nnen an Kommentare Dateien angeh\u00e4ngt werden, z.\u00a0B. Screenshots, die den Fehler illustrieren, oder Dokumente, die zum Absturz der App f\u00fchren. Diese Dateien werden mithilfe der oben beschriebenen Links auf GitHub-Servern gespeichert.<\/p>\n

GitHub hat jedoch eine Besonderheit: Wenn ein Nutzer einen Kommentar schreibt und begleitende Dateien hochl\u00e4dt, aber nicht auf \u201eVer\u00f6ffentlichen\u201c klickt, bleiben die Informationen im Entwurf \u201eh\u00e4ngen\u201c \u2013 und sie sind sowohl f\u00fcr den App-Besitzer als auch f\u00fcr andere GitHub-Nutzer unsichtbar. Trotzdem wird ein direkter Link zu der im Kommentar hochgeladenen Datei erstellt und ist vollst\u00e4ndig verf\u00fcgbar. Und \u00fcber diesen Link kann die Datei von einer beliebigen Person aus dem GitHub-CDN heruntergeladen werden.<\/p>\n

\"Nachdem<\/a>

Nachdem eine b\u00f6sartige Datei zu einem unver\u00f6ffentlichten Kommentar auf GitHub hinzugef\u00fcgt wurde, wird ein Download-Link f\u00fcr die Datei generiert<\/p><\/div>\n

\u00a0<\/p>\n

Dabei k\u00f6nnen die Eigent\u00fcmer des Repositorys, in dessen Kommentaren sich die Datei befindet, diese weder l\u00f6schen noch blockieren. Sie wissen \u00fcberhaupt nichts davon! Zudem gibt es keine Einstellungen, um das Hochladen solcher Dateien f\u00fcr das Repository generell einzuschr\u00e4nken. Die einzige L\u00f6sung ist, Kommentare komplett zu deaktivieren (was auf GitHub f\u00fcr bis zu sechs Monate m\u00f6glich ist). Damit w\u00e4re jedoch auch die f\u00fcr Entwickler wichtige Feedback-Option nicht mehr verf\u00fcgbar.<\/p>\n

Die Kommentarfunktion von GitLab ist \u00e4hnlich, auch dort k\u00f6nnen Dateien \u00fcber Kommentarentw\u00fcrfe ver\u00f6ffentlicht werden. Der Zugriff auf Dateien ist \u00fcber einen Link wie gitlab.com\/{Benutzername}\/{Repo-Name}\/uploads\/{Datei-ID}\/{Dateiname}<\/em> m\u00f6glich.<\/p>\n

Hier ist das Problem nicht so akut, da nur registrierte, eingeloggte GitLab-Nutzer Dateien hochladen k\u00f6nnen.<\/p>\n

Eine Goldgrube f\u00fcr Phishing-Kampagnen<\/h2>\n

\u00dcber Links, die mit GitHub\/GitLab beginnen und die Namen bekannter Entwickler und beliebter Projekte enthalten, k\u00f6nnen also beliebige Dateien ver\u00f6ffentlicht werden (unver\u00f6ffentlichte Kommentare zu einer Datei k\u00f6nnen in fast jedem Repository hinterlassen werden). Dies er\u00f6ffnet Cyberkriminellen auch eine M\u00f6glichkeit f\u00fcr sehr \u00fcberzeugende Phishing-Angriffe. Es wurden bereits b\u00f6sartige Kampagnen<\/a> entdeckt, bei denen in den \u201eKommentaren\u201c von Microsoft-Repositorys angebliche Cheating-Apps f\u00fcr Spiele gespeichert waren.<\/p>\n

Ein wachsamer Nutzer fragt sich vielleicht, warum sich ein Gaming-Cheat in einem Microsoft-Repository wie https:\/\/github{.}com\/microsoft\/vcpkg\/files\/\u2026..\/Cheat.Lab.zip<\/em> befindet. Viel wahrscheinlicher ist jedoch, dass Stichw\u00f6rter wie \u201eGitHub\u201c und \u201eMicrosoft\u201c das Opfer beruhigen und der Link gar nicht genauer unter die Lupe genommen wird. Besonders clevere B\u00f6sewichte tarnen ihre Malware noch sorgf\u00e4ltiger, pr\u00e4sentieren sie beispielsweise als neue Version einer App, die \u00fcber GitHub oder GitLab verteilt wird, und ver\u00f6ffentlichen passende Links \u00fcber die \u201eKommentare\u201c zu dieser App.<\/p>\n

So sch\u00fctzt du dich vor b\u00f6sartigen Inhalten auf GitHub und GitLab<\/h2>\n

Da dieser Konstruktionsfehler weiterhin besteht und jede Person beliebige Dateien in das CDN von GitHub und GitLab hochladen kann, ist auf diesen Plattformen h\u00f6chste Vorsicht geboten.<\/p>\n