Neue Malware nutzt GitHub zur Verbreitung von Infostealern

LONDON (IT BOLTWISE) – In der Welt der Cyberkriminalität hat sich eine neue Bedrohung etabliert: Eine Malware-as-a-Service (MaaS)-Operation nutzt GitHub, um schädliche Software zu verbreiten.

Die jüngste Entdeckung einer Malware-as-a-Service (MaaS)-Operation, die GitHub als Verbreitungsplattform nutzt, wirft ein Schlaglicht auf die Herausforderungen der Cybersicherheit. Diese Operation nutzt GitHub-Repositories, die oft in Unternehmens- und privaten Netzwerken nicht blockiert sind, um Sicherheitsfilter zu umgehen. Die Anbieter dieser Dienste, deren Identität zunächst unklar bleibt, bieten fertige Malware-Kits an, die von den Nutzern angepasst und gegen verschiedene Ziele eingesetzt werden können.

Die Raffinesse dieser Operation liegt in der Nutzung scheinbar legitimer GitHub-Repositories, die verschlüsselte Schadsoftware als harmlose Software-Tools oder Updates tarnen. Diese Repositories sind professionell gestaltet, mit detaillierter Dokumentation und Code-Beispielen, die Open-Source-Projekte nachahmen. Entwickler und IT-Profis werden so dazu verleitet, infizierte Dateien herunterzuladen.

Einmal heruntergeladen, dekodieren und aktivieren sich die Schadprogramme, indem sie Infostealer wie Lumma oder Amadey in die Systeme der Opfer einschleusen. Diese Taktik spiegelt einen breiteren Trend wider, bei dem über 200 trojanisierte GitHub-Repositories in Kampagnen identifiziert wurden, die sich gegen Gamer und Entwickler richten. Diese Repositories nutzen GitHubs Glaubwürdigkeit aus, da die Plattform ein fester Bestandteil für Code-Sharing und Zusammenarbeit ist, was sie zu einem blinden Fleck für viele Antiviren-Scanner macht.

Sicherheitsexperten weisen darauf hin, dass das MaaS-Modell die Cyberkriminalität demokratisiert, indem es auch wenig erfahrenen Akteuren ermöglicht, komplexe Angriffe zu starten. In diesem Fall werden die Schadprogramme über Base64-codierte Skripte verteilt, die der anfänglichen Erkennung entgehen und erst durch vertrauenswürdige Windows-Prozesse aktiviert werden.

Die Enthüllung unterstreicht GitHubs anhaltenden Kampf gegen Missbrauch. Millionen von bösartigen Repositories wurden in der Vergangenheit entfernt, doch die Plattform kämpft darum, mit der Flut Schritt zu halten. GitHubs Reaktion umfasst in der Regel automatisierte Scans und Benutzerberichte, doch anhaltende Kampagnen wie diese offenbaren Lücken in der proaktiven Überwachung.

Brancheninsider warnen, dass solche Exploits das Vertrauen in Open-Source-Ökosysteme untergraben könnten. Parallel dazu gibt es Berichte über Hacker, die GitHub nutzen, um Amadey-Malware und Datendiebe zu hosten, indem sie Filter umgehen, indem sie Schadprogramme in Projekt-Forks oder Pull-Requests einbetten, die auf anfällige Erweiterungen wie Ethcode in Visual Studio Code abzielen.

Um diesen Bedrohungen entgegenzuwirken, empfehlen Experten eine verstärkte Überprüfung der Repository-Metadaten, wie z.B. Commit-Historien und Beitragsprofile, bevor Downloads erfolgen. Organisationen sollten strengere Netzwerkrichtlinien implementieren, einschließlich der Whitelist genehmigter GitHub-Quellen und der Nutzung von Verhaltensanalyse-Tools, die anomale Ausführungen nach dem Download erkennen.

Diese MaaS-Operation erinnert eindringlich an die zweischneidige Natur von Plattformen wie GitHub. Während sie Innovation fördern, bieten sie auch fruchtbaren Boden für böswillige Aktivitäten. Ohne verstärkte Zusammenarbeit zwischen Plattformen, Sicherheitsfirmen und Nutzern wird die Grenze zwischen legitimen Code und verdeckten Schadprogrammen weiterhin verschwimmen, was potenziell zu weitreichenden Datenverletzungen und finanziellen Verlusten in einer zunehmend vernetzten digitalen Landschaft führen könnte.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!