Malware auf GitHub: Hacker greifen Programmierer an

Wir haben auf GitHub über 200 Repositorys mit gefälschten Projekten gefunden. Angreifer verwenden solche Repositorys, um Stealer, Clipper und Backdoors zu verbreiten.

Malware in gefälschten GitHub-Repositorys

Nehmen wir an, du willst irgendwo hinfahren. Problem: Du musst erst einmal das Rad neu erfinden und dann an ein neues Fahrrad basteln – und das nicht nur einmal, sondern jedes Mal von Neuem. Kannst du dir so eine Welt vorstellen? Wir können es auch nicht. Warum sollte man etwas neu erfinden, das es schon gibt und das wunderbar funktioniert? Dasselbe gilt auch für das Programmieren: Entwickler müssen tagtäglich unzählige Routineaufgaben lösen. Dabei können sie nicht ständig das Rad neu erfinden und ein neues Fahrrad zusammenzuschrauben (von Qualitätsanforderungen ganz zu schweigen). Deshalb verlassen sie sich auf die Open-Source-Repositorys von GitHub und greifen auf vorgefertigten Code für Fahrräder zurück.

Diese praktische Möglichkeit steht absolut allen offen. Auch Kriminellen, die den weltweit besten kostenlosen Open-Source-Code nun wohl als Köder für ihre Angriffe entdeckt haben. Diese Vermutung wird durch zahlreiche Beweise untermauert. Ein aktuelles Beispiel: Unsere Experten haben die aktive Malware-Kampagne „GitVenom“ aufgedeckt, die GitHub-Nutzer zum Ziel hat.

Was ist GitVenom?

GitVenom ist eine bösartige Kampagne. Unbekannte Akteure haben über 200 Repositorys mit gefälschten Projekten und Schadcode erstellt: Telegram-Bots, Tools zum Hacken des Spiels Valorant, Instagram-Automatisierungstools und Bitcoin-Wallet-Manager. Auf den ersten Blick sehen diese Repositorys völlig legitim aus. Bemerkenswert ist die professionell gestaltete Datei README.MD. Sie enthält eine Anleitung zur Verwendung des Codes mit detaillierten Anweisungen in mehreren Sprachen. Außerdem haben die Angreifer ihre Repositorys mit zahlreichen Tags versehen.

Die Angreifer haben mithilfe von KI ausführliche Anweisungen in mehreren Sprachen verfasst

Die Angreifer haben mithilfe von KI ausführliche Anweisungen in mehreren Sprachen verfasst

Die scheinbare Legitimität dieser Repositorys wird auch durch die hohe Anzahl von Commits bekräftigt. Solche Änderungsvermerke sind tonnenweise in den gefälschten Repositorys enthalten. Die Angreifer waren wirklich um Authentizität bemüht. Natürlich wurde dazu nicht jedes einzelne der 200 Repositorys von Hand aktualisiert. Die Kriminellen nutzten Zeitstempeldateien, die alle paar Minuten aktualisiert wurden. Eine Kombination aus ausführlicher Dokumentation und zahlreichen Commits erweckt den Eindruck, der Code sei echt und sicher.

GitVenom: seit zwei Jahren aktiv

Die Kampagne begann schon vor einiger Zeit: Das älteste gefälschte Repository, das wir aufgespürt haben, ist etwa zwei Jahre alt. In der Zwischenzeit sind Entwickler aus Russland, Brasilien, der Türkei und anderen Ländern auf GitVenom hereingefallen. Die Angreifer deckten ein breites Spektrum an Programmiersprachen ab: Schadcode gab es in Repositorys für Python, JavaScript, C, C# und C++.

Ganz anders steht es um die Funktionalität der Projekte. Die in der README-Datei beschriebenen Funktionen stimmen überhaupt nicht mit dem tatsächlichen Code überein. In Wirklichkeit kann der Code nur einen Bruchteil dessen, was versprochen wird. Trotzdem laden die Opfer „dank“ dieser Software schädliche Komponenten herunter. Hier einige Beispiele:

  • Ein Node.js-Stealer, der Benutzernamen, Passwörter, Krypto-Wallet-Daten und den Browserverlauf erfasst, die gestohlenen Daten in ein .7z-Archiv verpackt und es über Telegram an die Angreifer sendet.
  • AsyncRAT– ein Open-Source-Trojaner zur Fernadministration, der auch als Keylogger agieren kann.
  • Quasar– eine Open-Source-Backdoor.
  • Ein Clipper, der sich Krypto-Wallet-Adressen aus der Zwischenablage schnappt und diese durch vom Angreifer kontrollierte Adressen ersetzt. Interessanterweise erhielt die bei diesem Angriff verwendete Hacker-Wallet im November 2024 eine einmalige Einzahlung von etwa 5 BTC (zum Zeitpunkt der Studie etwa 377.000 Euro).

Weitere Details zu dieser bösartigen Kampagne findest du in unserer umfassenden Untersuchung auf SecureList.

So schützt du dich vor schädlichen Inhalten auf GitHub und GitLab

Kurz gefasst: Vorsicht ist die beste Verteidigung. Da über 100 Millionen Entwickler GitHub verwenden, werden Angreifer wahrscheinlich auch in Zukunft Schadcode über diese beliebte Plattform verbreiten. Bleibt nur die Frage: Wie stellen sie das an? Vor zehn Jahren hätte sich niemand träumen lassen, dass Angreifer hartnäckige Kampagnen wie GitVenom über einen so langen Zeitraum aufrechterhalten können. Daher sollte jeder Entwickler bei der Arbeit mit GitHub auf Hygiene hinsichtlich der Cybersicherheit achten.

  • Analysiere den Code, bevor du ihn in ein bestehendes Projekt integrierst.
  • Verwende sowohl auf Computern als auch auf Smartphones einen Malware-Schutz
  • Achte auch auf nicht offensichtliche Merkmale: Konten der Mitarbeitenden, Anzahl der Sterne (Likes) und Datum der Projekterstellung. Wenn das Konto erst drei Tage alt ist, das Repository vor zwei Tagen erstellt wurde und nur einen Stern hat, stehen die Chancen gut, dass es ein gefälschtes Projekt mit schädlichem Code ist.
  • Lade keine Dateien über Direktlinks zu GitHub herunter, wenn die Links in Chats, über verdächtige Kanäle oder auf nicht verifizierten Websites geteilt werden.
  • Wenn du ein verdächtiges Repository findest, melde es bei GitHub. Dies könnte andere Geräte retten, die nicht durch eine zuverlässige Sicherheitslösung geschützt sind.
Tipps
Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder