SchwachstellenHackerangriffeCyberkriminalität

Manipulierte Ruby Gems und Go Module: Neue Supply-Chain-Attacke zielt auf CI-Pipelines ab

Von CyberDeutsch Redaktion
Manipulierte Ruby Gems und Go Module: Neue Supply-Chain-Attacke zielt auf CI-Pipelines ab
Zusammenfassung

Eine neue Malware-Kampagne zielt gezielt auf die Software-Lieferkette ab und nutzt manipulierte Ruby-Gems und Go-Module, um in Continuous-Integration-Pipelines einzudringen und Anmeldedaten zu stehlen. Die Angreifer hinter dem GitHub-Konto "BufferZoneCorp" haben Pakete veröffentlicht, die sich als legitime Bibliotheken wie activesupport-logger, devise-jwt und go-retryablehttp ausgeben, um Entwickler zum Download zu bewegen. Die Ruby-Gems extrahieren bei der Installation Umgebungsvariablen, SSH-Schlüssel und AWS-Secrets, während die Go-Module noch gefährlichere Funktionen bieten: Sie manipulieren GitHub-Actions-Workflows, installieren SSH-Hintertüren für Fernzugriff und fungieren als Man-in-the-Middle für Go-Befehle. Für deutsche Unternehmen und Entwickler bedeutet dies ein erhebliches Risiko, da viele deutsche Tech-Firmen auf diese Abhängigkeiten angewiesen sind. Der Angriff gefährdet nicht nur einzelne Entwickler, sondern potenziell ganze CI/CD-Pipelines und damit kritische Infrastrukturen. Sicherheitsforscher empfehlen betroffenen Nutzern, die Pakete sofort zu deinstallieren, Zugriffsrechte zu überprüfen, exponierte Credentials zu erneuern und Netzwerk-Logs auf verdächtige Aktivitäten zu analysieren. Dies unterstreicht einmal mehr die Notwendigkeit einer streng kontrollierten Abhängigkeitsverwaltung in der Softwareentwicklung.

Die Sicherheitsforscherin Kirill Boychenko von Socket hat eine koordinierte Kampagne dokumentiert, die gezielt zwei Ökosysteme – Ruby und Go – nutzt, um in Entwicklungs- und Build-Umgebungen einzudringen. Die Angreifer setzen dabei eine bewährte Taktik ein: Schlafende Pakete, die erst später mit bösartigen Inhalten aktiviert werden.

Wie die Ruby Gems angreifen

Die manipulierten Ruby Gems werden bei der Installation aktiv und sammeln sofort sensible Daten. Sie extrahieren Umgebungsvariablen, private SSH-Schlüssel, AWS-Secrets, NPM-Konfigurationen und GitHub CLI-Token. Die Beute wird an eine externe Webhook.site-Adresse übertragen, die von den Angreifern kontrolliert wird. Dies ist besonders gefährlich, da Entwickler oft nicht bemerken, dass ihre Anmeldedaten exfiltriert werden.

Die Go-Module sind noch gefährlicher

Die Go-Module gehen einen Schritt weiter: Sie manipulieren GitHub Actions-Workflows, indem sie sich in die PATH-Variable einschleusen und als Proxy für den legitimen Go-Binary fungieren. Der Angriff ist raffiniert: Das manipulierte Modul erkennt die GitHub-Umgebungsvariablen, setzt Proxy-Einstellungen und platziert einen gefälschten Go-Wrapper im Cache-Verzeichnis. So können späteren Go-Ausführungen überwacht oder beeinflusst werden, während der echte Binary weiterhin normal läuft – der Angriff bleibt dadurch unsichtbar.

Besonders beängstigend: Die Module fügen auch einen SSH-Public-Key in „~/.ssh/authorized_keys” ein, was Angreifern persistenten Remote-Access zur Maschine ermöglicht. Dies ist klassische Backdoor-Platzierung in kritischen Infrastrukturen.

Maßnahmen für Entwickler und Teams

Betroffene Nutzer müssen sofort handeln: Alle verdächtigen Pakete entfernen, Zugangsdaten rotieren und SSH-Konfigurationen überprüfen. Auch Netzwerk-Logs sollten auf verdächtige HTTPS-Verbindungen durchsucht werden. Für deutsche Unternehmen gilt: Falls kundenbezogene Daten betroffen sind, besteht eine Meldepflicht gegenüber dem Bundesdatenschutzbeauftragten (BfDI) innerhalb von 72 Stunden.

Empfehlung des BSI

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, Supply-Chain-Risiken durch Dependency-Scanning, Code-Review von Abhängigkeiten und strenge Package-Governance zu minimieren. Diese Attacke zeigt: Vertrauen in Open-Source-Pakete muss verdient sein.

Ähnliche Artikel