GitHub als Malware-Verteilungsplattform: Neue Bedrohungen für Entwickler

LONDON (IT BOLTWISE) – In der digitalen Welt, in der Entwickler und Gamer gleichermaßen auf Open-Source-Plattformen wie GitHub angewiesen sind, um ihre Projekte zu verwalten und zu teilen, hat sich eine neue Bedrohung herauskristallisiert. Cybersecurity-Experten haben eine Kampagne aufgedeckt, bei der über 67 GitHub-Repositories mit trojanisierten Inhalten veröffentlicht wurden, die sich als harmlose Python-basierte Hacking-Tools ausgeben.

Die jüngsten Entdeckungen von ReversingLabs, die diese Aktivitäten unter dem Codenamen Banana Squad zusammenfassen, zeigen, dass es sich um eine Fortsetzung einer bereits 2023 identifizierten Kampagne handelt. Diese zielte auf das Python Package Index (PyPI) Repository ab und verbreitete gefälschte Pakete mit Informationsdiebstahl-Funktionen, die über 75.000 Mal heruntergeladen wurden. Die Bedrohung richtet sich insbesondere gegen Windows-Systeme, auf denen die Schadsoftware sensible Daten stehlen kann.

Ein Bericht des Internet Storm Center der SANS im November 2024 beleuchtete ein angebliches “steam-account-checker” Tool, das auf GitHub gehostet wurde. Dieses Tool nutzte raffinierte Techniken, um zusätzliche Python-Payloads herunterzuladen, die bösartigen Code in die Exodus-Kryptowährungs-Wallet-App injizieren und sensible Daten an einen externen Server senden konnten. Diese Entdeckung führte zur Identifizierung von 67 trojanisierten GitHub-Repositories, die sich als harmlose Projekte ausgeben.

Die Zielgruppe dieser Kampagne sind Nutzer, die nach Software wie Account-Cleaning-Tools und Spiel-Cheats suchen, darunter Discord Account Cleaner, Fortnite External Cheat, TikTok Username Checker und PayPal Bulk Account Checker. Alle identifizierten Repositories wurden inzwischen von GitHub entfernt. Doch die Bedrohung bleibt bestehen, da GitHub zunehmend als Malware-Verteilungsplattform genutzt wird.

Trend Micro berichtete kürzlich über 76 bösartige GitHub-Repositories, die von einem Bedrohungsakteur namens Water Curse betrieben werden. Diese Repositories sind darauf ausgelegt, Anmeldeinformationen, Browserdaten und Sitzungstoken zu stehlen und den Angreifern dauerhaften Fernzugriff auf die kompromittierten Systeme zu ermöglichen. Eine weitere Kampagne, die von Check Point aufgedeckt wurde, nutzt das kriminelle Netzwerk Stargazers Ghost, um Minecraft-Nutzer mit Java-basierter Malware anzugreifen.

Das Stargazers Ghost Network besteht aus mehreren GitHub-Konten, die Malware oder bösartige Links über Phishing-Repositories verbreiten. Diese Konten verwenden Techniken wie das Starring, Forking und Abonnieren von bösartigen Repositories, um deren Legitimität vorzutäuschen. Checkmarx deckte im April 2024 einige Aspekte dieses Netzwerks auf und wies auf das Muster hin, gefälschte Sterne zu verwenden und häufige Updates zu veröffentlichen, um die Popularität der Repositories künstlich zu erhöhen.

Diese Kampagnen richten sich auch gegen unerfahrene Cyberkriminelle, die auf der Suche nach leicht zugänglicher Malware und Angriffswerkzeugen sind. Sophos hob einen Fall hervor, bei dem das trojanisierte Sakura-RAT-Repository bösartigen Code enthielt, der diejenigen kompromittierte, die die Malware auf ihren Systemen kompilierten. Diese Repositories fungieren als Kanal für verschiedene Arten von Backdoors, die in Visual Studio PreBuild-Ereignissen, Python-Skripten, Bildschirmschoner-Dateien und JavaScript eingebettet sind.

Insgesamt hat Sophos 133 backdoored Repositories als Teil der Kampagne identifiziert, von denen 111 den PreBuild-Backdoor enthalten. Die anderen hosten Python-, Bildschirmschoner- und JavaScript-Backdoors. Diese Aktivitäten werden wahrscheinlich mit einem Distribution-as-a-Service (DaaS)-Betrieb in Verbindung gebracht, der seit August 2022 aktiv ist und Tausende von GitHub-Konten genutzt hat, um Malware in trojanisierten Repositories zu verbreiten.

Die genaue Verteilungsmethode der Kampagne ist unklar, aber es wird angenommen, dass die Angreifer auch auf Discord-Server und YouTube-Kanäle zurückgreifen, um Links zu den trojanisierten Repositories zu verbreiten. Sophos betont, dass diese Methode zwar effektiv ist, aber in Zukunft möglicherweise andere Zielgruppen anvisiert werden könnten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!