GitHub-Entwickler sind derzeit Ziel einer großangelegten Malware-Kampagne: In den Diskussionsbereichen zahlreicher Projekte tauchen falsche Visual-Studio-Code-Sicherheitswarnungen auf, die zum Download bösartiger Payloads verleiten sollen.
Nach Informationen von Socket und BleepingComputer stammen die Beiträge überwiegend von neuen oder unauffälligen Accounts und wirken auf den ersten Blick wie legitime Security-Hinweise oder Hotfix-Meldungen. Die Warnungen enthalten teils glaubwürdig wirkende Titel, angebliche CVE-Referenzen und Links zu vermeintlichen Patches, die extern – etwa über Google Drive – gehostet werden. Wer dem Link folgt, lädt eine bösartige Payload herunter. In einigen Fällen gaben sich die postenden Accounts als real existierende Code-Maintainer oder Sicherheitsforscher aus. Da GitHub Diskussionsbeiträge automatisch per E-Mail an Repository-Beobachter weiterleitet, steigt die Reichweite der Kampagne zusätzlich.
Aufgrund der hohen Frequenz, mit der ähnliche Alarmmeldungen in Tausenden Repositories gepostet werden, geht Socket von einer organisierten Kampagne aus.
Was jetzt zu tun ist:
- Angebliche, extern gehostete Patches nicht ungeprüft herunterladen
- CVE-IDs und Sicherheitsmeldungen über offizielle Quellen oder Herstellerseiten verifizieren
- Systembereinigung durchführen
Autor: Michatel Niers
