Die Attacke zeigt ein neues Maß an Raffinesse in der Cyberkriminalität. Die Hacker nutzten eine ungewöhnliche Methode: Sie erstellten über 700 manipulierte Git-Tags, ohne die offiziellen Repositories selbst zu kompromittieren. Stattdessen exploitierten sie eine GitHub-Funktion, die es Tags erlaubt, auf Commits in abgespaltenen Forks zu verweisen. Die Angreifer kontrollierten einen bösartigen Fork und leiteten die legitimen Tags dorthin um — eine Methode, die traditionelle Security-Scans leicht übersehen können.
Die Malware versteckte sich in einer Datei namens src/helpers.php, getarnt als harmloser Laravel-Lokalisierungs-Helper. Bei Ausführung fingerprinted sie das System und verbindet sich mit dem Command-and-Control-Server flipboxstudio[.]info, von dem ein PHP-basierter Credential Stealer heruntergeladen wird.
Das Ausmaß der Datenraub-Ziele ist beängstigend: Die Malware targeting Cloud-Keys und Tokens (AWS, GCP, Azure), Docker- und Kubernetes-Konfigurationen, HashiCorp-Vault-Tokens, SSH-Schlüssel, Browser-Credentials, Passwort-Manager, Kryptowährungs-Wallets und VPN-Konfigurationen. Sie funktioniert plattformübergreifend auf Windows, Linux und macOS.
Für betroffene Organisationen ist sofortige Reaktion erforderlich: Alle installierten Versionen müssen als potenziell kompromittiert behandelt werden. Kritisch ist die Rotation aller Cloud-Credentials, CI/CD-Geheimnisse, SSH-Schlüssel und API-Token. Entwickler sollten sofort auf saubere Versionen aktualisieren und ihre Systeme auf Malware-Indikatoren prüfen.
Dieser Vorfall unterstreicht die Verwundbarkeit moderner Software-Supply-Chains. Die Schnelligkeit der Veröffentlichung (15 Minuten) deutet auf automatisierte Angriffs-Infrastruktur hin. Für deutsche Unternehmen ist dies ein Alarmsignal: Open-Source-Abhängigkeiten müssen kontinuierlich überwacht werden. Das BSI empfiehlt, ein Inventory aller Drittanbieter-Komponenten zu führen und regelmäßig auf Sicherheits-Bulletins zu prüfen.