[datensicherheit.de, 18.08.2025] „Der zunehmende Einsatz von KI-gestützten ,Tools’ in der Software-Entwicklung verspricht schnelleres Programmieren, weniger Routineaufgaben und eine gesteigerte Produktivität“, so Michael Freeman, „Head of Threat Intelligence“ bei Armis, in seiner aktuellen Stellungnahme. Eine aktuelle Analyse der Armis Labs zeige indes, welche Sicherheitsrisiken entstehen können, wenn sich Entwickler zu stark auf durch KI generierten Code verließen – „insbesondere dann, wenn manuelle Prüfungen entfallen und automatisierte Vorschläge ungeprüft übernommen werden“.

Foto: Armis

Michael Freeman: Automatisierung allein ersetzt keine Sicherheitsstrategie!

Armis-Entwicklerteam verwendete „DeepSeek“, um Code und externe Bibliotheken automatisch auszuwählen…

Ein interessantes Beispiel aus dem jüngsten Bericht sei „DeepSeek Coder“, ein KI-basierter Code-Assistent, welcher Entwicklungsprozesse beschleunigen solle.

• „In einem simulierten Szenario nutzte ein Entwicklerteam ,DeepSeek’, um Code und externe Bibliotheken automatisch auszuwählen – mit Fokus auf Geschwindigkeit statt Sorgfalt. Das Ergebnis: schwerwiegende Sicherheitslücken!“

Die Künstliche Intelligenz (KI) empfahl demnach Drittanbieter-Bibliotheken mit bekannten, ausnutzbaren Schwachstellen und erzeugte Quellcode mit zahlreichen gängigen Sicherheitsfehlern. „Insgesamt wies die resultierende Anwendung 18 verschiedene Probleme aus der CWE-Top-25-Liste der kritischsten Software-Schwachstellen auf.“

Zentrale Armis-Erkenntnis: KI-gestützte Code-Assistenten nur so verlässlich wie Trainingsdaten und ihr Design

Freeman führt aus: „Dazu gehörten veraltete PDF- und Logging-Bibliotheken mit Anfälligkeit für die Ausführung beliebigen Codes (CWE-94), unsichere Deserialisierung (CWE-502) und fehlerhafte kryptographische Implementierungen (CWE-321).“

• Noch besorgniserregender seien Schwachstellen direkt im generierten Code gewesen – darunter „Cross Site Scripting“ (CWE-79), „SQL Injection“ (CWE-89), „Buffer Overflows“ (CWE-119) sowie unzureichende Authentifizierung und Zugriffskontrolle (CWE-287, CWE-306). „All diese Sicherheitsprobleme sind bekannt und potenziell gravierend – doch die KI erkannte oder verhinderte sie nicht.“

Zentrale Erkenntnis laut Freeman: „KI-gestützte Code-Assistenten sind nur so verlässlich wie ihre Trainingsdaten und ihr Design. Sie können unbewusst unsichere Bibliotheken empfehlen oder schlechte Programmierpraktiken aus öffentlich zugänglichem Code übernehmen.“ Ohne manuelle Prüfungen oder automatisierte Sicherheitsscans verbreiteten sich diese Schwachstellen schnell über ganze Projekte – und erhöhten das Risiko, statt es zu senken.

Produktivitätsgewinne mittels KI erfordern zugleich erhöhte Wachsamkeit

Die Armis-Forscher empfehlen daher, Sicherheitsprüfungen fest in den Entwicklungsprozess zu integrieren. Dazu zählten verpflichtende Code-Reviews, insbesondere für KI-generierte Vorschläge, sowie automatisierte Scans, um riskante Abhängigkeiten oder unsichere Muster zu erkennen. Freeman betont: „Entwickler sollten zudem geschult werden, KI-Ergebnisse kritisch zu hinterfragen, statt sie als automatisch korrekt anzusehen. Ebenso sollten KI-Tools ausschließlich auf sicheren, aktuellen Quellen basieren, um bekannte Fehler nicht zu reproduzieren.“

• Für Softwareteams in Deutschland – vor allem in Kritischen Sektoren wie Industrie, Gesundheitswesen oder Finanzwesen – seien diese Erkenntnisse besonders relevant. Mit der zunehmenden KI-Verbreitung steige auch das Risiko, unsichtbare Schwachstellen in Kritische Infrastrukturen (KRITIS) einzuschleusen. „Der Komfort KI-generierten Codes darf nicht auf Kosten grundlegender Sicherheitsstandards gehen!“

KI werde zweifellos zu den prägenden Kräften der künftigen Softwareentwicklung gehören. Die Ergebnisse des vorliegenden Berichts machten jedoch deutlich: Produktivitätsgewinne erforderten zugleich erhöhte Wachsamkeit. Freeman gibt abschließend zu bedenken: „Automatisierung allein ersetzt keine Sicherheitsstrategie – und ohne belastbare Schutzmechanismen können Werkzeuge, die Entwicklern die Arbeit erleichtern, ebenso schnell zu einem erheblichen Risiko werden!“

Weitere Informationen zum Thema:

ARMIS LABS INSIGHTS
Armis Labs Finds New Security Risks From AI Coding

ARMIS
About Armis

YouTube, Armis, 17.07.2024
Armis Bad Actors Podcast / Powering Threat Detection Through AI with Andrew Grealy and Michael Freeman

datensicherheit.de, 17.08.2025
KI-Einsatz: Studie offenbart dringenden Handlungsbedarf für Schulungen und Richtlinien / Unternehmen im „KI-Blindflug“ bringen sich mangels Sicherheitsmaßnahmen in Gefahr

datensicherheit.de, 02.08.2025
KI hoch im Kurs bei deutschen Tech-Startups / Inzwischen nutzen 82 Prozent von ihnen KI, vor einem Jahr waren es 76 Prozent, 2023 sogar erst 49 Prozent

datensicherheit.de, 18.07.2025
EU-Verhaltenskodex für KI: Fragen zur Nutzung Künstlicher Intelligenz bleiben offen / KI ist ganz offensichtlich eines der Themen, welches die Gesellschaft, Wirtschaft und auch die Politik derzeit in unterschiedlicher Ausprägung sehr beschäftigt

datensicherheit.de, 04.07.2025
Intensive KI-Nutzung in Unternehmen – Entwicklung von Richtlinien und Governance fällt zurück / Nicht einmal ein Drittel der Unternehmen verfügt über eine formelle, umfassende KI-Richtlinie

[datensicherheit.de, 09.02.2024] Der international agierende E-Commerce-Shop „Temu“ – seit Frühling 2023 auch in Deutschland, Italien, Frankreich, Spanien, Großbritannien und den Niederlanden am Cyber-Markt – hat innerhalb kürzester Frist schnell an Aufmerksamkeit gewonnen: Sein breites Angebot an preisreduzierten Waren, welche ohne Zwischenhändler direkt an die Verbraucher versandt werden, hat ihm zu großer Popularität verholfen. Diese wird nun offenbar von Cyber-Kriminellen missbraucht u.a. mit gefälschten Werbegeschenk-Codes. „Temu“-Codes werden schon fast wie eine Währung wahrgenommen – je mehr ein Kunde einen Code weitergibt, desto mehr Belohnungen erhält er. Zu diesen Belohnungen gehören Rabatte und kostenlose Artikel. Sicherheitsforscher von Check Point haben nach eigenen Angaben herausgefunden, dass Cyber-Kriminelle gefälschte „Temu“-Belohnungen nutzen, um Benutzer zur Herausgabe von Anmeldedaten zu verleiten: „In den letzten Wochen konnten Dutzende dieser Betrügereien festgestellt werden.“ Darüber hinaus sollen nach ihren Erkenntnissen in den letzten drei Monaten über 800 neue Domains mit dem Namen „Temu“ registriert worden sein.

Cyber-Schnäppchen-Plattform seit 2022 aktiv

Der 2022 gestartete Web-Shop, zum chinesischen Pindouduo gehörend, hat offenbar inzwischen eine große „Fanbase“ entwickelt: 40 Prozent der Downloads stammten aus den USA, aber auch in Deutschland seien es bereits stolze sechs Prozent. Derzeit sei „Temu“ in 48 Ländern weltweit erhältlich – darunter in Europa, dem Nahen Osten, Südostasien und Australien.

„Temu“ sei Anfang Februar 2024 die „Nummer 1“ unter den Shopping-Apps im „Google Play Store“ gewesen und habe den zweiten Platz im „Apple App Store“ belegt. Damit sei sie eine der am häufigsten heruntergeladenen Apps in den USA und erfreue sich großer Beliebtheit auf „TikTok“ und in anderen Sozialen Netzwerken. Einem kürzlich erschienenen „Bloomberg“-Artikel zufolge, gestützt auf Quellen von Attain, seien die häufigsten Käufer bei „Temu“ in der Altersgruppe 59 Jahre und älter – die 18- bis 26-Jährigen kauften am seltensten über diese App ein.

Cyber-Angriff auf Temu-Kunden wird klassisch mit einer E-Mail gestartet

Der von Check Point beschriebene Angriff sei klassisch mit einer E-Mail gestartet worden: „Sie beginnt mit einem Hinweis, dass der Benutzer der Gewinner des Monats Januar ist.“ Diese E-Mail gebe vor, von „Temu Rewards“ zu stammen – tatsächlich komme sie jedoch von einer „onmicrosoft.com“-E-Mail-Adresse. In ihrem Hauptteil befindet sich laut Check Point ein leeres Bild mit einem Link: „Dieser führt zu einer Seite zum Sammeln von Anmeldeinformationen.“

Es handele sich um eine ziemlich einfache Phishing-E-Mail. Diese solle offensichtlich die Aufmerksamkeit des Benutzers gewinnen, „indem sie behauptet, er sei ein Gewinner“. Mit „Temu“ als vermeintlichem Absender hofften die Bedrohungsakteure, „dass der Markenname den Benutzer zum Handeln veranlasst“. Check Point kommentiert: „Wenn ein aufmerksamer Benutzer sieht, dass die Absenderadresse nichts mit ,Temu’ zu tun hat oder dass die Links nicht zu einer ,Temu’-Seite führen, weiß er natürlich, dass er sich fernhalten sollte.“

Vorgehen der Cyber-Kriminellen bei nüchterner Betrachtung zu erkennen

Wie bei vielen anderen Betrugsversuchen zum Sammeln von Anmeldeinformationen versuchten Bedrohungsakteure, Markennamen und die neuesten Trends auszunutzen. In diesem Fall sei der Markenname eben „Temu“. Es gebe viele klassische Anzeichen dafür, „dass diese E-Mail nicht das ist, was sie vorgibt zu sein“. Erstens werde eine enorme Dringlichkeit vorgetäuscht, „da es darum geht, zum Gewinner des Monats ernannt zu werden“. Zweitens komme die E-Mail von einer generischen „onmicrosoft.com“-Adresse und nicht von „Temu“. Drittens werde das Bild nicht geladen – es sei einfach leer. „Und der Link in diesem Bild führt nicht auf eine ,Temu’-Seite, sondern auf eine Phishing-Website.“

Doch selbst offensichtliche Bedrohungen könnten die Schutzmechanismen überwinden und die Benutzer zum Klicken verleiten. Deshalb sei es wichtig, die Benutzer auf die Grundlagen hinzuweisen und dafür zu sorgen, dass ihre Sicherheitsmaßnahmen alle Bedrohungen abwehren können – „egal, ob es sich um einfache oder komplexe Bedrohungen handelt“. Um sich vor diesen Cyber-Angriffen zu schützen, empfehlen die Sicherheitsexperten Folgendes:

• Implementierung von Sicherheitssystemen, die mithilfe von KI mehrere Indikatoren für Phishing erkennen.
• Implementierung von Sicherheitssystemen mit robustem URL-Schutz zum Scannen und Emulieren von Webseiten.
• Implementierung einer umfassenden Sicherheitssuite, die auch Dokumente und Dateien scannen kann.

Weitere Informationen zum Thema:

UTOPIA, Benita Wintermantel , 08.02.2024
Chinesischer Schnäppchen-Shop Temu: Die beliebte Shopping-App hat viele Nachteile

CHECK POINT, Jeremy Fuchs, 08.02.2024
Spoofing Temu for Credential Harvesting

BusinessofApps, David Curry, 01.02.2024
Temu Revenue and Usage Statistics (2024)

Bloomberg, Spencer Soper & Antonia Mufarech, 23.01.2024
Temu’s Most Loyal Shoppers Are Actually Boomers and Gen Xers

[datensicherheit.de, 31.01.2024] Check Point liefert in einer aktuellen Meldung ein Update zum Thema „Quishing“: Demnach wurde eine neue Kampagne entdeckt, bei der QR-Codes so verwendet werden, dass die Phishing-Attacke sich dem Gerät des Nutzers anpasst, um glaubwürdiger zu erscheinen.

Bedrohliche Zunahme an QR-Code-Phishing

„Check Point Research“ (CPR), die „Threat Intelligence“-Abteilung bei der Check Point® Software Technologies Ltd., hatte nach eigenen Angaben bereits festgestellt, dass QR-Code-Phishing (sogenanntes Quishing) als Betrugsversuch zwischen August und September 2023 um 587 Prozent in der Häufigkeit gestiegen ist.

Bedrohung durch verseuchten QR-Code

Nun legten die Hacker nach: Die Attacken funktionierten nun als bedingtes Routing, wodurch sie sich automatisch an das Gerät des Nutzers, seinen Browser und die Bildschirmgröße anpassten. Zugrunde liege indes die alte Quishing-Technik, nämlich ein verseuchter Code. Im kürzlich entdeckten Fall sollten die Anwender eine Beitragsübersicht prüfen und dafür den QR-Code mit dem angeblichen Link einlesen.

QR-Codes nicht blind vertrauen!

Angesichts der Tatsache, dass seit Jahren die meisten Cyber-Attacken mit Phishing als Vorhut beginnen, sollten Privat-Anwender laut Check Point künftig sehr genau hinschauen, welchen QR-Code sie scannen, während Unternehmen auf jeden Fall eine Sicherheitsarchitektur benötigten, „die auch QR-Codes prüfen kann und dabei Maschinenlernen und Künstliche Intelligenz zur Analyse einsetzt“.

Weitere Informationen zum Thema:

CHECK POINT, Jeremy Fuchs, 23.01.2024
Conditional QR Code Routing Attacks

[datensicherheit.de, 24.10,2023] Die Check Point® Software Technologies Ltd. warnt in einer Stellungnahme vor einer neue Variante des Phishings – vor sogenanntem Quishing (QR-Code-Phishing). Eigentlich harmlose QR-Codes eignen sich demnach hervorragend, um bösartige Absichten zu verschleiern: „Hinter einem üblichen QR-Code-Bild kann sich ein schädlicher Link verbergen, was kaum ersichtlich ist.“ Da Anwender daran gewöhnt seien, QR-Codes zu scannen, werde ein solcher Code in einer E-Mail oft nicht als Bedrohung erkannt.

QR-Code-Phishing, um Zugangsdaten zu stehlen

Aus diesem Grund raten die Sicherheitsforscher, „sehr genau auf den Absender zu achten, wenn eine E-Mail einen QR-Code enthält“. Im Zweifelsfall sollte man lieber die jeweilige Website direkt aufrufen.

Bei einem entdeckten Angriff hätten die Hacker einen QR-Code erstellt, „der zu einer Seite führt, auf der Anmeldeinformationen gesammelt werden“. Der angebliche Grund sei, dass die Microsoft-Multi-Faktor-Authentifizierung ablaufe und man sich deshalb erneut authentifizieren solle.

Entgegen der Behauptung des Textes, von Microsoft Security zu stammen, gehöre die Absenderadresse einer anderen Quelle. „Sobald der Benutzer den QR-Code scannt, wird er auf eine Seite geleitet, die wie die Website von Microsoft aussieht, aber in Wirklichkeit nur dazu dient, seine Zugangsdaten zu stehlen.“

Bekämpfung von QR-Code-Phishing-Angriffen als Herausforderung

Der Angriff funktioniert laut Check Point folgendermaßen: „Ein Bild mit dem Text wird erstellt, um einige Sprachanalyse-Tools zu umgehen.“ Als Gegenmaßnahme komme oft eine optische Zeichenerkennung (OCR) zum Einsatz (OCR wandelt Bilder in Text um, um ihn lesbar zu machen).

Die Hacker hätten jedoch eine andere Möglichkeit gefunden, dies zu umgehen, nämlich einen QR-Code. Diese Angriffe zu bekämpfen, sei komplizierter. Die OCR müsse in eine Funktion zur QR-Code-Erkennung integriert, in die URL übersetzt und durch URL-Analysetools analysiert werden.

Man könne zwar nicht immer wissen, in welche Richtung die Hacker als nächstes gehen werden. Allerdings verfügten die Verteidiger über grundlegende Werkzeuge, um diese zu bekämpfen, wie die Befolgung des Inline-Verschlüsselungsverfahrens sowie das Umhüllen von URLs und Emulations-Tools oder die Öffnungsverschlüsselung.

[datensicherheit.de, 26.07.2023] „Das ,Voyager18‘-Forschungsteam von Vulcan Cyber hat eine neue Angriffstechnik entdeckt, die auf ,ChatGPT’ basiert“, berichtet Melissa Bischoping, „Director Endpoint Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme und warnt: Diese ermögliche es Angreifern, mit geringem Aufwand Zugriff auf Entwicklerumgebungen zu erlangen.

Foto: Tanium
Melissa Bischoping: ChatGPT und andere generative KI-Plattformen neigen dazu, Fragen mit künstlich kreierten Quellen, Links, Blogs und Statistiken zu beantworten

Voyager18 hat neue Angriffstechnik via ChatGPT AI-Paket-Halluzination genannt

„Voyager18“ hat demnach diese neue Technik „AI-Paket-Halluzination“ genannt. Diese beruht laut Bischoping auf der Tatsache, „dass ,ChatGPT’ und andere generative KI-Plattformen dazu neigen, Fragen mit künstlich kreierten Quellen, Links, Blogs und Statistiken zu beantworten“.

Es würden auch fragwürdige Korrekturen für „Common Vulnerabilities and Exposures“ (CVEs) generiert und Links zu Code-Bibliotheken angeboten, die nicht existierten. Bischoping erläutert: „Wenn ein Angreifer eine Empfehlung für ein unveröffentlichtes Paket findet, kann er sein eigenes Paket an dessen Stelle veröffentlichen.“ Anschließend könne er Supply-Chain-Angriffe ausführen, indem er bösartige Bibliotheken in bekannten Repositories bereitstellt.

Empfehlungen auch von ChatGPT bergen einige Gefahren

Unternehmen sollten deshalb niemals Codes herunterladen und ausführen, „den sie nicht gründlich überprüft oder getestet haben“, rät Bischoping. Gerade der Download aus einer nicht überprüften Quelle – wie Open-Source-Github-Repos oder jetzt Empfehlungen von „ChatGPT“ – berge einige Gefahren. „Jeder Code, der ausgeführt werden soll, muss auf Sicherheit geprüft werden.“ Außerdem empfehle es sich, private Kopien anzulegen.

Bischoping unterstreicht: „Importieren Sie Codes nicht direkt aus öffentlichen Repositories, wie sie in dem Beispielangriff von ,Voyager18‘ verwendet wurden.“ In diesem Fall hätten die Angreifer „ChatGPT“ als Übermittlungsmechanismus verwendet. Es sei jedoch nicht neu, dass die Lieferkette durch die Verwendung gemeinsam genutzter oder von Drittanbietern importierter Bibliotheken kompromittiert werde. „Diese Strategie wird auch weiterhin verwendet werden, und die beste Verteidigung besteht darin, sichere Kodierungspraktiken anzuwenden.“ Außerdem sollte insbesondere von Dritten entwickelter Code, der für die Verwendung in Produktionsumgebungen vorgesehen ist, gründlich getestet und überprüft werden. Abschließend legt Bischoping nahe: „Vertrauen Sie nicht blind jeder Bibliothek oder jedem Paket, das Sie im Internet (oder in einem Chat mit einer KI) finden!“

[datensicherheit.de, 03.02.2023] Sicherheitsforscher von Check Point gehen in einer aktuellen Stellungnahme auf eine weitere Masche ein, welche unter Hackern über die letzten Jahre immer beliebter geworden sei – verseuchte Pakete mit bösartigen Befehlszeilen dienten als „Stoßtrupp“.

Check Point sieht Code-Pakete als neues Vehikel der Hacker

„Check Point Research“ (CPR), die Forschungsabteilung der Check Point Software Technologies Ltd., warnt alle IT-Sicherheitskräfte vor betrügerischen Code-Paketen: Die „ThreatCloud“ habe mehrere schädliche Objekte gefunden. Diese Masche dürfe zu den Lieferketten-Angriffen und Wertschöpfungsketten-Angriffen gerechnet werden, die stark zunähmen.

Auf verschiedenem Weg versuchten Cyber-Kriminelle, in die Systeme von Unternehmern und Privat-Leuten einzudringen, und Code-Pakete seien das neue Vehikel der Hacker. Über die letzten Jahre, so CPR, hätten die Verbrecher zunehmend diese für ihre Zwecke missbraucht: „Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen.“ Dies bringe vor allem eigentlich vertrauenswürdige Drittanbieter solcher „Repositories“ in Verruf und habe Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von „Open Source“. Vor allem „Node.js“ (NPM) und „Python“ (PyPi) seien im Visier.

Beispiel 1 lt. Check Point: Verseuchtes Code-Paket Python-drgn hochgeladen

Am 8. August 2022 sei auf „PyPi“ das verseuchte Code-Paket „Python-drgn“ hochgeladen, welches den Namen des echten Paketes „drgn“ missbrauche. „Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln.“

Diese würden an einen privaten Slack-Kanal geschickt. Das Gefährliche: „Enthalten ist lediglich eine ,setup.py’-Datei, die in der ,Python’-Sprache nur für Installationen genutzt wird und automatisch ,Python’-Pakete abruft, ohne die Einwirkung des Benutzers.“ Dies allein mache die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlten. Der schädliche Teil verstecke sich daher in dieser Setup-Datei.

Beispiel 2 lt. Check Point: Ebenfalls verseuchtes Code-Paket bloxflip angeboten

Ebenfalls auf „PyPi“ sei das verseuchte Code-Paket „bloxflip“ angeboten worden, welches den Namen von „Bloxflip.py“ missbrauche. Dieses deaktiviere als erstes den „Windows Defender“, um nicht entdeckt zu werden.

Danach lade es eine ausführbare Datei (.exe) unter Nutzung der „Python“-Funktion „Get“ herunter. Anschließend werde ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.

Check Point: Angriffe können schwerwiegende Folgen

„Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent.“

„Diese Angriffe können schwerwiegende Folgen haben, einschließlich Datenbeschädigung oder -verlust, Betriebsunterbrechung und Rufschädigung“, warnt
Lee Levi, Team Leader im Bereich „Mail Security“ bei Check Point Software Technologies.

Check Point rät, stets Legitimität aller von Dritten erworbenen Quellcodes zu prüfen!

Aus Sicht der Angreifer seien Paket-Repositories ein zuverlässiger und skalierbarer Kanal zur Verbreitung von Malware. Levi betont: „Wir mahnen die Öffentlichkeit, stets die Legitimität aller von Dritten erworbenen Quellcodes zu prüfen.”

Check Point rät, um sich zu schützen: „Stets die Echtheit aller Quell-Codes von Drittanbieter-Programmen und -Paketen prüfen! Wichtige Daten immer verschlüsseln, sowohl bei der Übertragung als auch bei der Speicherung. Regelmäßige Audits zu den benutzten Code-Paketen durchführen!“

Weitere Informationen zum Thema:

Cyber, Vikki Davies, 20.01.2022
Software supply chain attacks tripled in 2021 says Argon

[datensicherheit.de, 22.08.2022] Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei Check Point Software Technologies GmbH, kommentiert den Cyber-Angriff auf „GitHub“-Verzeichnisse und erläutert die Bedrohlichkeit von Supply-Chain-Attacken.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: GitHub gutes Beispiel, warum Sicherheit der Software-Lieferkette ebenso wichtig ist wie die der physischen…

Anfang August 2022 Cyber-Attacke auf Tausende GitHub-Verzeichnisse

„Nachdem Anfang August eine Cyber-Attacke auf Tausende ,GitHub’-Verzeichnisse und damit die gesamte Software-Lieferkette dieser ,Open Source Community’ bekannt geworden ist, rückte die Bedrohlichkeit von Supply-Chain-Angriffen wieder in das öffentliche Bewusstsein“, betont Schönig.

Im Fall von „GitHub“ habe die stärkere Ausbreitung des Angriffs verhindert werden können – „dennoch wirken die Schäden, die ein solcher Angriff nach sich zieht und weiterziehen kann, einschüchternd“.

„GitHub“ werde von über 83 Millionen Entwicklern weltweit genutzt und ermögliche es ihnen, den Quellcode, den sie dort speichern, zu verfolgen und zu kontrollieren. Die Nutzer von „GitHub“ stellten damit die größte offene Entwickler-Community der Welt dar.

GitHub ermöglicht es Programmierern, gemeinsam an Code-Repositories zu arbeiten

„,GitHub’ ermöglicht es Programmierern, gemeinsam an Code-Repositories zu arbeiten, so dass andere zu Codes beitragen können, die nicht von ihnen selbst stammen. Dabei hat der Eigentümer des ursprünglichen Codes die volle Kontrolle darüber, ob er die von einem anderen Mitglied der Gemeinschaft vorgenommenen Änderungen akzeptiert oder ablehnt“, erläutert Schönig. Dabei sei es üblich, „dass Entwickler die Code-Repositories herunterladen und die Befehlszeilen in ihren eigenen Anwendungen verwenden“.

Falls ein Programmierer den Code eines anderen Entwicklers erheblich verändern möchte, „dann verwendet er stattdessen die Klon-Funktion von ,GitHub’“. Damit könne er eine Kopie erstellen, wobei die ursprüngliche Version unter der Verwaltung des ursprünglichen Autors unangetastet bleibe.

Sie behalte auch ihre Interaktionsstatistik zu Aufrufen, Beiträgen oder Nutzern, während die geklonte Version unter neuer Leitung stehe und keine Interaktionsstatistik habe, „da es sich im Grunde um neuen Code handelt“.

Hacker hat mehr als 35.000 GitHub-Repositories geklont

Kürzlich habe also ein Hacker mehr als 35.000 dieser „GitHub“-Repositories geklont und sie mit dem ursprünglichen Quellcode identisch gehalten, aber bösartige Befehlszeilen hinzugefügt. Diese seien in der Lage gewesen, ein detailliertes Profil der Umgebung, worin sie ausgeführt wurden, zu sammeln. Der Code habe die Identität des Gerätes, die Identität des Benutzers und möglicherweise andere sensible Daten sammeln können. Schönig führt aus: „Noch wichtiger ist, dass diese Kodierung die Möglichkeit bot, zusätzlich Malware von einer Web-Seite herunterzuladen. Dieses Schadprogramm konnte jede Anwendung oder Umgebung ausnutzen, die diesen Code aus den Klonen verwendete oder ausführte.“

Die Entwickler-Community habe das bösartige Implantat in einer Code-Sammlung identifiziert, welche von „GitHub“ heruntergeladen worden sei, und sie habe sofort befürchtet, „dass der Quellcode aus den ursprünglichen Repositories ebenfalls mit Malware infiziert worden war“. Bei weiteren Untersuchungen habe sich jedoch herausgestellt, „dass wirklich nur die Klone infiziert wurden, weil diese jeden Nutzer täuschen sollten, er lade das Original herunter“.

Dieser Kniff könne katastrophale Auswirkungen auf die Software-Lieferkette haben, „wenn ein Entwickler irrtümlich ein geklontes Code-Repository mit diesem bösartigen Code herunterlädt, es für seine eigenen Zwecke verwendet und dann unwissentlich seinen Benutzern ein mit Malware infiziertes Programm zur Verfügung stellt“, warnt Schönig.

GitHub-Zwischenfall ein Versuch, zahllose Umgebungen und Anwendungen auf einfache hinterlistige Weise anzugreifen

Mittlerweile gingen viele Entwickler endlich dazu über, die IT-Sicherheit früh in den Entwicklungsprozess zu integrieren und Sicherheitskräfte mit automatisierten „Tools“ für sogenannte DevOps auszustatten.

So sollten Anwendungen oder Geräte ab Werk einen gewissen Standard an IT-Sicherheit erfüllen. Allerdings gehe dieses Umdenken noch zu langsam voran. Der Zwischenfall in „GitHub“ sollte daher als ein Versuch wahrgenommen werden, zahllose Umgebungen und Anwendungen auf so einfache wie hinterlistige Weise anzugreifen.

Schönig abschließend: „Er ist ein gutes Beispiel, warum die Sicherheit der Software-Lieferkette ebenso wichtig ist, wie die der physischen Lieferkette zwischen Zulieferer und Konzern. IT-Sicherheit ist keine Bremse, wenn sie frühzeitig in die Entwicklung eingebunden wird, sondern eine Versicherung, dass bei Veröffentlichung des Projekts keine böse Überraschung wartet.“

Weitere Informationen zum Thema:

IT-MARKT, Adrian Oberer & cka, 05.08.2022
AWS- und Krypto-Keys gefährdet / Cyberkriminelle lancieren Malware-Angriff auf Github

golem.de, Sebastian Grüner, 03.08.2022
Open Source: Gut getarnte Malware-Kampagne in Tausenden Github Repos / Ein Sicherheitsforscher hat eine groß angelegte Malware-Kampagne entdeckt, die versucht, sich durch einfache Pull Requests einzuschmuggeln

[datensicherheit.de, 03.08.2021] Tenable hat nach eigenen Angaben am 3. August 2021 auf ein branchenweites Sicherheitsproblem hingewiesen, welches „durch die Wiederverwendung von anfälligem Software-Code durch Hersteller entsteht“. Tenable Research hat demnach zuvor „eine zwölf Jahre alte Schwachstelle [CVE-2021-20090] entdeckt“, welche möglicherweise Millionen von Routern bei Dutzenden von Herstellern angreifbar machen könnte. Die schiere Anzahl der betroffenen Hersteller und Geräte lenke die Aufmerksamkeit auf ein branchenweites Problem – „die erheblichen nachgelagerten Auswirkungen von wiederverwendetem anfälligem Software-Code“.

Tenable: Schwachstelle Path Traversal / Authentication Bypass betrifft 20 Geräte von 17 Herstellern in elf Ländern

„Tenable hat festgestellt, dass die ,Path Traversal / Authentication Bypass‘-Schwachstelle mindestens 20 Geräte von 17 verschiedenen Herstellern in elf Ländern betrifft, darunter Internet-Service-Provider (ISPs) in Argentinien, Australien, Kanada, Deutschland, Japan, Mexiko, den Niederlanden, Neuseeland, Russland, Spanien und den USA.“ Wenn diese Schwachstelle ausgenutzt wird, könnte jemand die Gerätekonfiguration ändern, um Endbenutzern bösartige Inhalte zu liefern oder Geräte anzugreifen, welche mit dem LAN des Routers verbunden sind.
„Wenn der Angreifer motiviert ist, könnte er die Umgehung der Authentifizierung auch ausnutzen, um Zugriff auf Funktionen zu erhalten, die ihn eher zu einer anderen Schwachstelle führen, wie CVE-2021-20091.“ Dabei handele es sich um eine sogenannte Configuration-Injection-Schwachstelle, welche in den ersten untersuchten Buffalo-Router-Modellen entdeckt worden sei und die einem Angreifer Root-Zugriff auf das Gerät ermöglichen könnte.

Tenable ruft Anbieter zu Maßnahmen auf, um Auswirkungen der Schwachstellen auf sich selbst und Kunden abzumildern

In Anbetracht des gegenwärtigen Trends zu einer dezentralen, von zu Hause aus arbeitenden Belegschaft wirke sich dies nicht nur auf Verbraucher aus, sondern habe auch das Potenzial, Unternehmen weiteren unkontrollierten Risiken auszusetzen. „Verbraucher sollten sich keine Sorgen machen müssen, dass ihr vom ISP bereitgestelltes Gerät sie oder ihre Arbeitgeber angreifbar macht“, betont Evan Grant, „Staff Research Engineer“ bei Tenable.
Die betroffenen Anbieter sollten Maßnahmen ergreifen, um die Auswirkungen dieser Schwachstellen auf sich selbst und ihre Kunden abzumildern, fordert Grant und fasst abschließend zusammen: „Darüber hinaus ist die Zusammenarbeit aller Beteiligten – Hersteller, Anbieter und Sicherheitsforscher – unerlässlich, um die Schwierigkeiten bei der Meldung von Schwachstellen in gemeinsam genutzten Software-Bibliotheken zu überwinden und die Schwachstelle auf allen betroffenen Produkten effizient zu beheben.“

Weitere Informationen zum Thema:

tenable
Multiple Vulnerabilities in Buffalo and Arcadyan manufactured routers

tenable, Evan Grant, 03.08.2021
Bypassing Authentication on Arcadyan Routers with CVE-2021–20090 and rooting some Buffalo

Ein Kommentar von Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

[datensicherheit.de, 30.04.2019] Der Sicherheitsverstoß beim Docker Hub, der 190.000 Nutzer gefährdet und am Wochenende öffentlich wurde, ist nur ein weiterer Angriff auf Software-Sharing-Center wie GitHub. Da diese Zentren von Open-Source-Entwicklern und fast jedem größeren Unternehmen genutzt werden, besteht das Risiko, dass Angreifer Container oder Code ändern, indem sie Backdoor und bösartigen Code einfügen, um Angriffe zu ermöglichen.

Code Signing-Zertifikate sollen die Authentizität des Codes schützen

Code Signing-Zertifikate – eine Art von Maschinenidentität – schützen die Authentizität des Codes: Sie bestimmen, welcher Entwickler den Code produziert hat und dass der Code nicht verändert wurde. Ohne Code-Signatur kann Code geändert oder neuer Code in Entwickler-Hubs eingefügt werden. Es ist wichtig, dass jedes Unternehmen, das Software entwickelt – und jedes Unternehmen von heute wendet sich schnell an Softwareentwickler von Banken bis hin zu Einzelhändlern – Code Signing verwendet, um sich vor Verletzungen am Docker Hub, GitHub und an Software-Repositories zu schützen. Aus diesem Grund ist jede Android-, iOS-, OS X- und Windows-Anwendung jetzt mit einem Code signiert.

Foto: Venafi

Kevin Bocek, VP Security Strategy and Threat Intelligence, Venafi

Ungeschützt können Maschinenidentitäten missbraucht werden

Aber wenn sie ungeschützt bleiben, ist die Codesignatur eine mächtige Waffe. Beim Sicherheitsvorfall von Stuxnet wurden gestohlene Codesignatur-Maschinenidentitäten verwendet, um völlig vertrauenswürdig zu arbeiten. Vor kurzem wurden bei ASUS Code Signing-Zertifikate missbraucht, um vertrauenswürdige Malware zu erstellen. Darüber hinas verfolgt McAfee weit über 20 Millionen Malware mit gestohlenen oder bösartigen Code Signing-Zertifikaten. Während Unternehmen also die Codesignatur zum Schutz vor Verstößen wie beim Docker Hub einsetzen müssen, schützen sie am ehesten auch den Prozess der sicheren Codeauslieferung.

Weitere Informationen zum Thema:

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 08.11.2018
Venafi-Studie: 86 Prozent der deutschen Sicherheitsexperten halten Wahldaten für gefährdet

datensicherheit.de, 19.09.2018
Heartbleed: OpenSSL-Schwachstelle wird immer noch ausgenutzt

datensicherheit.de, 09.08.2018
WhatsApp-Sicherheitsvorfall untergräbt das Vertrauen im Internet

[datensicherheit.de, 12.10.2017] Der römisch-deutsche Kaiser Ferdinand III. verwendete im 17. Jahrhundert eine Geheimschrift, die Dechiffrier-Experten lange Zeit nicht entschlüsseln konnten. Klaus Schmeh, einer der weltweit führenden Experten für historische Verschlüsselungstechnik, hat nun gemeldet, dass der in den USA lehrende deutsche Professor Dr. Thomas Ernst diese historische Verschlüsselung knacken konnte.

Experten bissen sich die Zähne aus

Der Habsburger Ferdinand III. (1608-1657) spielte eine wichtige Rolle im Dreißigjährigen Krieg. Historiker stießen bei der Erforschung seines Lebens mehrfach auf verschlüsselte Briefe, deren Inhalt sie brennend interessierte. Sie konnten den von Ferdinand III. verwendeten Code, der aus Zahlen und einfachen geometrischen Symbolen besteht, jedoch nicht knacken.
2014 hatte der Wiener Historiker Prof. Dr. Leopold Auer einen der verschlüsselten Briefe dem deutschen Verschlüsselungsexperten Klaus Schmeh zur Verfügung gestellt. In seinem Blog schrieb der Informatiker über diesen Brief, doch zunächst konnte keiner der Leser die Verschlüsselung lösen. „schmeh.org“ befasst sich mit historischen Verschlüsselungen und wird von zahlreichen namhaften Codenkackern weltweit gelesen.

Abbildung: Haus-, Hof- und Staatsarchiv Wien

Ein Code aus Zahlen und einfachen geometrischen Symbolen

Ein Philologe und Historiker als Codeknacker

Im Juli 2017 veröffentlichte Schmeh den verschlüsselten Brief Ferdinands ein zweites Mal auf seinem Blog. Zu den Lesern zählte dieses Mal Prof. Dr. Thomas Ernst – ein deutscher Germanist.
Professor Ernst hatte sich bereits in den 1990er-Jahren einen Namen gemacht, als er die 500 Jahre alten Verschlüsselungen des Gelehrten Johannes Trithemius (1462–1516) im dritten Buch von dessen „Steganographia“ löste.
Am 15. September 2017 soll er nun auch den Code von Ferdinand III. mit einer Kombination aus Fachwissen und Intuition erschlossen haben. Im Gegensatz zu den meisten anderen Codeknackern, die in der Regel aus der Computer-Branche kommen, ist Ernst ein Philologe und Historiker, der sich mit der Welt Ferdinands III. schnell vertraut machen konnte. Er lernte zudem, die unverschlüsselten Brief-Passagen des Kaisers zu lesen – die Handschrift Kaiser Ferdinands III. und dessen polyglotter Gebrauch mehrerer Sprachen nebeneinander hatte schon so manchem Interpreten Schwierigkeiten bereitet.

Foto: Prof. Dr. Thomas Ernst

Prof. Dr. Thomas Ernst: Mit der Welt Ferdinands III. schnell vertraut gemacht

Das kaiserliche Motto „AEIOU“ als Türöffner

Ein erster Durchbruch sei gelungen, als Ernst habe feststellen können, dass jedes Symbol, das weder Zahl noch Buchstabe darstellt, durch die Zahl der Striche ersetzt werden könne, die darin vorkommen:
||| steht demnach für „3“ und / für „1“. Durch geratene Wörter und die Berücksichtigung von Buchstaben-Häufigkeiten sei es ihm schließlich gelungen, der kaiserlichen Verschlüsselung auf die Schliche zu kommen.
Er hat laut Schmeh richtig vermutet, dass für Ferdinand das kaiserliche Motto „AEIOU“, welches sich noch heute als Inschrift auf Gebäuden aus der Habsburger-Ära finden lassen, eine Rolle dabei spielte: So zeigte sich, dass „01“ und „02“ für das A standen, „02“ und „12“ für das E, „03“ und „13“ für das I sowie „04“ und „14“ für das O.
Er habe dann durch einen Geistesblitz den Namen „Piccolominea“, welcher von einer Familie geführt wurde, mit der Ferdinand III. korrespondierte, erkennen können und nach diesem geglückten Einstieg bald eine vollständige Chiffriertabelle aufstellen können.

Noch viele weitere Briefe von Ferdinand III.

Es existieren noch viele weitere Briefe von Ferdinand III. und seinem Umfeld, die mit demselben Code verschlüsselt wurden. Professor Ernst plant nach eigenen Angaben nun eine wissenschaftliche Veröffentlichung, in der diese Briefe im Klartext vorgestellt und die Hintergründe erklärt werden sollen.
Professor Auer zeigte sich voll des Lobes über Ernsts Entschlüsselung: „Eine ganz faszinierende Leistung, die für die Geschichte Ferdinands III. natürlich von großer Bedeutung ist.“
Auch Blogger Schmeh zeigt sich begeistert: „Ich bin von Thomas Ernsts DechiffrierLeistung sehr beeindruckt und stolz, dass mein Blog den Anstoß zum Lösen dieses Rätsels gegeben hat.“
Wer nun selbst Lust aufs Codeknacken bekommen hat, müsse sich nicht lange nach einem Betätigungsfeld umsehen. „Es gibt Dutzende weitere ungelöste Verschlüsselungen, die auf meinem Blog aufgelistet sind“, lädt Schmeh ein, und es kämen immer wieder neue dazu.

Weitere Informationen zum Thema:

ScienceBlogs / Klausis Krypto Kolumne, 23.05.2014
Die ungelöste Geheimschrift von Kaiser Ferdinand III.

SAINT VINCENT COLLEGE
Thomas Ernst Ph.D.

ÖAW / universität wien
Leopold Auer, HR Hon.-Prof. Dr. phil.