Ständig hört man es: „Moderne Cyberangriffe sind raffinierter als je zuvor“. Aber selten hat ein Angriff dieser These so sehr entsprochen wie BlazeStealer, eine Reihe bösartiger Python-Pakete, die sich als harmloses Werkzeug zur Verschleierung (Obfuskation) von Code ausgeben – eine standardmäßige Best Practice für Unternehmen, die die Vertraulichkeit der Daten schützen müssen, mit denen ihre Entwickler und Entwicklerinnen arbeiten.
Der Einsatz von Datenschutztools sollte Angreifer zwar abschrecken bzw. stoppen, hat aber manchmal den gegenteiligen Effekt. Da die durch die Code-Verschleierung geschützten Daten oft sehr wertvoll sind, sind die Angreifer motivierter, Wege zu finden, um in diese Tools einzudringen – sie können sogar böswillige Versionen erstellen und diese an ahnungslose Nutzer vermarkten.
In einem kürzlichen Fall wurde nach dem Herunterladen dieser scheinbar harmlosen Code-Verschleierungspakete automatisch Schadsoftware ausgelöst, die es Angreifern ermöglichte, die volle Kontrolle über die Geräte ihrer Opfer zu übernehmen, Passwörter zu stehlen und sensible Daten zu verschlüsseln und herunterzuladen. Als BlazeStealer entdeckt und entfernt wurde, war er bereits fast 2.500 Mal in Nordamerika, Asien und Europa heruntergeladen worden und hatte dabei die geschützten Informationen von Tausenden von Unternehmen kompromittiert.
Zwar stellt die BlazeStealer Schadsoftware keine Bedrohung mehr dar, es wurden jedoch Tausende anderer Entwicklertools in ähnlicher Weise ins Visier genommen. Dabei nutzen Angreifer Open-Source-Repositories aus, missbrauchen das Vertrauen von Entwicklern bzw. Entwicklerinnen und dringen in ahnungslose Organisationen ein. Lesen Sie weiter, um zu erfahren, warum Angreifer die Anwendungsentwicklung als Einstiegspunkt nutzen und wie Sie bösartige Aktivitäten innerhalb der von Ihrem Entwicklungsteam verwendeten Tools erkennen können.
Entwickler bzw. Entwicklerinnen befinden sich innerhalb Organisationen in einer besonderen Position. Ihr Zugang zur Entwicklungsinfrastruktur und zu internen Systemen macht sie zu einem wertvollen Ziel für Angreifer, die diesen Zugang durch Malware und andere ausgeklügelte Schemata kompromittieren können – und damit die Daten, den Betrieb und die Einnahmen Ihres Unternehmens gefährden. Dies zeigt sich auch anhand einiger der jüngsten Angriffe:
GitHub, eine beliebte Entwicklerplattform, wurde mit Millionen von infizierten Code-Repositories überflutet, die darauf abzielten, Entwicklergeräte zu kompromittieren, Anmeldedaten von Nutzern zu erlangen und Kryptowährung zu stehlen.
In einem Versuch, der der nordkoreanischen Hackergruppe Lazarus zugeschrieben wird, haben Angreifer Tippfehler von Benutzern ausgenutzt, um Entwickler dazu zu verleiten, Tausende von bösartigen Python-Paketen herunterzuladen.
Ähnliche Angriffe versteckten Schadsoftware in Testdateien, die möglicherweise aus Codierungstests stammten, die an Freiberufler oder Arbeitssuchende vergeben wurden.
Die Identifizierung und Abwehr von Schadsoftware ist oft schwierig, da Angreifer bösartige Pakete schneller duplizieren und hochladen können, als Entwicklerplattformen und Anbieter der Software-Lieferkette sie entfernen können. Und einige Entwickler bzw. Entwicklerinnen überprüfen Software von Drittanbietern möglicherweise überhaupt nicht ordnungsgemäß; in einer Studie erhielten Nutzer veraltete JavaScript-Pakete (z. B. Pakete mit bekannten Sicherheitslücken) mit einer Rate von 2,1 Milliarden Downloads pro Woche.
Die Auswirkungen dieser Angriffe – sei es durch in Open-Source-Repositories versteckte bösartige Software, Betrug oder einfache Fahrlässigkeit – können weit über die ursprünglichen Auswirkungen auf die Anwendungs- und Webentwicklung hinausgehen. Bei erfolgreicher Einschleusung kann sich Malware schnell in der Infrastruktur und den Systemen eines Unternehmens ausbreiten, interne Daten stehlen, geschützte Kundendaten kompromittieren, Geschäftsabläufe (oder sogar die von Ihnen veröffentlichten Produkte) stören und den Umsatz und den Ruf Ihrer Marke schädigen.
Die Abwehr dieser Bedrohungen erfordert einen proaktiven Ansatz, einschließlich der Durchführung regelmäßiger Sicherheitsscans, der Festlegung strenger Richtlinien für die Verwendung von Code-Repositories und Entwicklertools von Drittanbietern sowie die Aufklärung bzw. regelmäßige Unterrichtung der Entwickler bzw. Entwicklerinnen über neue Angriffsmethoden.
Hier sind drei Anzeichen für gängige Scams sowie bewährte Methoden, mit denen Unternehmen das Risiko eines Angriffs verringern können:
1.Tippfehler können mit Schadsoftware infizierte Pakete tarnen.
Diese Technik, die auch als Typosquatting bekannt ist, verleitet Benutzer dazu, böswillige Pakete herunterzuladen, die ähnliche Namen wie beliebte Softwarepakete haben. Schon ein einfacher, unbemerkter Tippfehler kann die Verbreitung von Schadsoftware auslösen, sobald der Benutzer das kompromittierte Paket installiert hat, sodass Angreifer weitere Aktionen durchführen können.
Um solche Angriffe zu verhindern, müssen Entwickler und Entwicklerinnen die Namen von Paketen sorgfältig prüfen, bevor sie mit dem Herunterladen und der Installation fortfahren – selbst wenn das Paket aus einer vertrauenswürdigen Quelle stammt.
2. In vertrauenswürdigen Paketen können sich bösartige Updates verbergen.
Selbst Pakete, die bereits auf verdächtige Inhalte und Schwachstellen überprüft wurden, können bei zukünftigen Updates kompromittiert werden und Angriffe dann auslösen, wenn man sie am wenigsten erwartet. Die manuelle Überprüfung jeder Paketaktualisierung kann jedoch notwendige Sicherheitsaktualisierungen verlangsamen, den Fokus von anderen Entwicklungsinitiativen ablenken und ist teuer und zeitaufwändig, wenn sie regelmäßig durchgeführt wird.
Zur Vermeidung bösartiger Updates wie diesen gibt es eine Reihe von Techniken, von der Priorisierung kritischer Sicherheitsupdates bis hin zum Einsatz automatischer Tools, die Pakete auf neue Schwachstellen überprüfen.
3. Die Sicherheitstools und Dienstprogramme von Entwicklern bzw. Entwicklerinnen können als Deckmantel für bösartige Aktivitäten dienen.
Wie die Code-Verschleierungstools, die die BlazeStealer-Malware getarnt haben, können auch andere Sicherheitstools und Dienstprogramme von Entwicklern (selbst so etwas Unscheinbares wie ein E-Mail-Validierungstool) eine Kette unerwarteter bösartiger Aktionen auslösen. Wenn sie erfolgreich sind, können Angreifer Zugang zu geschützten Anmeldeinformationen, Daten, Entwicklersystemen und Produktionsinfrastrukturen erhalten und so ihre Angriffsfläche schnell erweitern.
Die Abwehr solcher Angriffe lässt sich nicht durch eine manuelle Inspektion von Open-Source-Paketen oder den Einsatz bestimmter Automatisierungsdienste zur proaktiven Suche nach Schwachstellen erreichen. Auch wenn Entwickler das Ziel dieser Angriffe sind, liegt es an den Unternehmen, eine sicherheitsorientierte Denkweise zu kultivieren: eine Denkweise, die auch bei der Verwendung vertrauenswürdiger Repositories und Tools von hohen Sicherheitsrisiken ausgeht.
Mit der Verbreitung von Open-Source-Repositories und der zunehmenden Abhängigkeit der Unternehmen von diesen Repositories finden Angreifer immer effektivere und raffiniertere Wege, um in die Systeme der Entwickler einzudringen. Daher ist die Implementierung einer robusten Strategie zur Erkennung von und Reaktion auf Bedrohungen wichtiger als je zuvor.
Die einheitliche, intelligente Plattform von Cloudflare hilft Unternehmen, ihre Infrastruktur und Daten vor neuen Bedrohungen zu schützen und strenge Datenkontrollen durchzusetzen. Mit Cloudflare können Unternehmen:
Die Offenlegung und den Diebstahl sensibler Daten minimieren: Scannen Sie nach Quellcode während der Übertragung (über HTTP-Inspektion) und verhindern Sie unbefugte Uploads auf riskante KI-Tools und Open-Source-Repositories.
Potenzielle Risiken in öffentlichen Repositories überwachen: Erkennen Sie eine Vielzahl von Datenverlusten, Fehlkonfigurationen von Konten und Sicherheitsrisiken für Benutzer bei der Verwendung öffentlicher Repositories wie GitHub.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Holen Sie sich das E-Book Everywhere Security: Wie sich moderne Unternehmen innovationsfreundlich vor Bedrohungen schützen können und erfahren Sie, wie Cloudflare Unternehmen dabei hilft, ihre Entwicklungsumgebungen vor komplexen und sich entwickelnden Bedrohungen zu schützen.
Folgende Informationen werden in diesem Artikel vermittelt:
Warum Open-Source-Repositories ein Nährboden für Schadsoftware sind
Wie Angreifer Entwicklertools und Ökosysteme ins Visier nehmen
Strategien, um raffinierte Betügereien zu erkennen — und zu stoppen
Everywhere Security für jede Phase des Lebenszyklus von Angriffen
Infografik: Auswirkungen von modernem Programmieren, KI und der Cloud auf die Datenschutzstrategie