Es klingt nach einer übertriebenen Story, die man vielleicht auf einer Konferenz als abschreckendes Beispiel hören würde. Doch der Vorfall ist real. Ein Angriff auf das Build System Nx hat dazu geführt, dass tausende GitHub Konten kompromittiert wurden. Am Ende landeten private Repositories und sensible Daten im Netz, wo sie nie hätten sein dürfen.
Der Anfang der Kette
Alles begann bei den NPM Paketen von Nx. Diese Pakete werden wöchentlich millionenfach installiert. Angreifer nutzten genau diesen Umstand und schmuggelten Schadcode hinein. Wer die Pakete installierte, holte sich damit unbemerkt einen Datensammler ins System. Dieser sammelte Anmeldedaten, SSH Keys, Tokens und sogar Wallet Zugänge.
Die Überraschung kam danach. Statt die Daten im Verborgenen zu verkaufen, veröffentlichten die Angreifer sie über GitHub selbst. Mit den gestohlenen Konten der Opfer wurden neue Repositories erstellt, die den Namen s1ngularity repository trugen. So wirkte es, als hätten die Betroffenen ihre eigenen Geheimnisse preisgegeben.
Drei Phasen voller Leaks
Die Sicherheitsfirma Wiz hat den Vorfall untersucht und die Ereignisse in drei Phasen beschrieben. Zunächst wurden die Zugangsdaten von mehr als 1700 Entwicklern kompromittiert. Dabei ging es vor allem um GitHub Tokens, in einigen Fällen aber auch um zusätzliche sensible Dateien.
In der zweiten Phase kam es zu einer massiven Ausweitung. Über 480 Konten wurden gekapert und darüber mehr als 6700 private Repositories veröffentlicht. Besonders heikel ist, dass viele dieser Repositories nicht einzelnen Entwicklern, sondern Organisationen gehörten.
Die dritte Phase wirkte fast wie ein Nachschlag. Mit nur zwei kompromittierten Konten wurden erneut über 500 Repositories ins Netz gestellt.
Die eigentliche Gefahr
GitHub reagierte zwar und entfernte die von den Angreifern erstellten Repositories wieder. Doch das eigentliche Problem ist damit längst nicht gelöst. Viele der kompromittierten Tokens sind weiterhin gültig. Während die Zahl der funktionierenden GitHub Tokens inzwischen stark zurückging, sind nach Angaben der Forscher noch immer etwa 40 Prozent der NPM Tokens aktiv.
Das bedeutet, dass Angreifer noch lange auf eine große Angriffsfläche zugreifen können. Private Repositories enthalten oft weit mehr als Quellcode. Sie sind gefüllt mit Konfigurationsdateien, interner Logik und manchmal sogar Zugangsdaten. Wer solche Informationen in die Hände bekommt, kann daraus gezielt weitere Attacken entwickeln.
Der erste Sturm scheint vorüber zu sein, doch die eigentliche Bedrohung bleibt bestehen. Dieser Angriff zeigt einmal mehr, dass Supply Chain Sicherheit nicht theoretisch ist. Wenn Angreifer dort ansetzen, wo Entwickler ihre Werkzeuge beziehen, trifft es nicht nur einzelne Projekte, sondern die gesamte Infrastruktur.
Für betroffene Organisationen bedeutet das ein langes Nachspiel. Für alle anderen ist es eine deutliche Erinnerung daran, dass Abhängigkeiten nicht blind vertraut werden dürfen. Der Vorfall mit Nx ist ein Lehrstück darüber, wie tiefreichend moderne Angriffe sein können und wie lange ihre Folgen nachwirken.
© stock.adobe.com, jixiang