Vergangene Woche sind kurzzeitig die auf Github gespiegelten Quellen der Linux-Distribution Gentoo von Angreifern übernommen worden, wobei diese eher rabiat als vorsichtig waren. Das Team nutzt jetzt eine Zweifaktorauthentifzierung.

Das Team der Linux-Distribution Gentoo meldete Ende Juni, dass sich Angreifer zu der Github-Seite des Projekts einen Zugang erschlichen haben. Dort schleusten diese Schadcode, welcher rasch entfernt wurde, in dort liegende Gentoo-Repositorys ein und veränderten diverse Dateien. Drei Repositorys, die über einen gewissen Zeitraum Schadcode enthalten haben, sind im jetzt vorliegenden ausführlichen Bericht zu dem Vorfall genannt. Das sind gentoo/gentoo, gentoo/musl und gentoo/systemd. Wer also zwischen dem 28. Juni abends und dem 29. Juni morgens von diesen Repositorys geklont hat, sollte die Prozedur wiederholen. Zusätzlich sind die konkreten Uhrzeiten (UTC) im Bericht genannt.

Der Analyse zufolge sind der oder die Angreifer, um sich Zugriff auf die Github-Infrastruktur verschaffen zu können, an ein Passwort eines Administrators gelangt. Dabei handelte es sich nach derzeitiger Beweislage um ein Passwort, das der Admin auf einer anderen Seite eingesetzt hatte. Dieses wurde von den Angreifern dort abgegriffen und daraus konnte das Passwort für die Github-Instanz abgeleitet werden. Allerdings konnten die Angreifer auch über die nun bereitstehenden Github-Logs und den durchgeführten Audit nicht identifiziert werden.

(mt, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE