Angriff über die Entwicklungs-Pipeline

Eine neue Welle von Supply-Chain-Angriffen hat zentrale Werkzeuge der Softwareentwicklung getroffen. Wie das Sophos X-Ops Advanced-Threat-Research-Team berichtet, wurden nahezu zeitgleich die Entwicklungsumgebungen des Sicherheitsanbieters Checkmarx sowie des Passwortmanagers Bitwarden kompromittiert. Die Vorfälle verdeutlichen einmal mehr, wie verwundbar moderne Software-Lieferketten sind.

Im Kern der Angriffe steht die Manipulation von Build- und Distributionsprozessen. Angreifer konnten Schadcode in legitime Entwickler-Tools einschleusen, indem sie gezielt Continuous-Integration- und Continuous-Delivery-Pipelines (CI/CD) kompromittierten.

Im Fall von Bitwarden wurde eine manipulierte Version des CLI-Tools über das npm-Repository verbreitet. Diese enthielt Schadcode, der nach der Installation zusätzliche Komponenten nachlud und ausführte. Ziel war es, Zugangsdaten und sensible Informationen direkt aus Entwicklerumgebungen abzugreifen.

Parallel dazu wurden bei Checkmarx mehrere Artefakte kompromittiert, darunter Docker-Images, GitHub Actions und Entwickler-Erweiterungen.

Fokus auf Entwickler und Cloud-Zugänge

Die eingesetzte Malware zielte nicht auf Endnutzer, sondern gezielt auf Entwickler und deren Infrastruktur. Sie sammelte unter anderem:

• API- und Zugriffstokens (GitHub, npm)
• Cloud-Zugangsdaten (AWS, Azure, Google Cloud)
• SSH-Schlüssel und lokale Konfigurationsdateien

„Developer-Toolchains entwickeln sich immer stärker zu einem attraktiven Angriffsziel, weil dort privilegierte Zugriffe, Automatisierung und sensible Zugangsdaten zusammenlaufen", sagt Michael Veit, Cybersicherheits-Experte bei Sophos. „Bemerkenswert ist, dass nun offenbar auch Konfigurationen von KI-Assistenzsystemen gezielt mitgesammelt werden. Das deutet auf eine sich erweiternde Angriffsfläche hin."

Besonders brisant: Die gestohlenen Daten wurden teilweise automatisiert weiterverwendet, um neue Angriffsvektoren zu erschließen. So konnten Angreifer etwa eigene Repositories in kompromittierten GitHub-Konten erstellen oder Schadcode in weitere Projekte einschleusen.

Verbindung zu bekannten Angriffskampagnen

Analysen zeigen deutliche Überschneidungen mit früheren Supply-Chain-Angriffen, insbesondere mit der sogenannten „Shai-Hulud“-Kampagne. Auch eine Verbindung zur Hackergruppe „TeamPCP“ wird diskutiert, wenngleich die genaue Attribution weiterhin unklar ist. Gemeinsam ist den Angriffen die Nutzung ähnlicher Techniken

• Missbrauch vertrauenswürdiger Build-Prozesse
• Verbreitung über offizielle Paketquellen
• Exfiltration von Daten über legitime Plattformen wie GitHub

Kein direkter Zugriff auf Nutzerdaten

Bitwarden betonte, dass nach aktuellem Stand keine Hinweise auf einen Zugriff auf Nutzerdaten oder Produktivsysteme vorliegen. Die Kompromittierung beschränkte sich auf eine spezifische Distributionskomponente des CLI-Tools und wurde nach Entdeckung schnell behoben.

Die Vorfälle unterstreichen einen klaren Trend: Angreifer verlagern ihren Fokus zunehmend auf die Software-Lieferkette. Statt einzelne Ziele direkt anzugreifen, nutzen sie vertrauenswürdige Tools als Einfallstor, um eine große Zahl potenzieller Opfer gleichzeitig zu erreichen.

Experten empfehlen daher unter anderem:

• Rotation aller Zugangsdaten nach möglichen Kompromittierungen
• Härtung von CI/CD-Pipelines
• Einschränkung von Berechtigungen und Token-Reichweiten
• Monitoring von Build- und Veröffentlichungsprozessen

Die Angriffe auf Checkmarx und Bitwarden zeigen eindrücklich, dass selbst etablierte Sicherheitsanbieter nicht immun sind – und dass die Absicherung der Software-Lieferkette zu den zentralen Herausforderungen der IT-Sicherheit gehört.