Eine besorgniserregende Cybersicherheitsbedrohung hat sich in der Open-Source-Entwicklerplattform GitHub manifestiert. Cyberkriminelle missbrauchen die Kommentarfunktion der Plattform, um die gefährliche Lumma Stealer-Malware zu verbreiten, indem sie diese als vermeintliche Softwarepatches tarnen. Diese raffinierte Taktik stellt eine erhebliche Gefahr für unvorsichtige Entwickler und Nutzer dar.
Anatomie des Angriffs: Wie Lumma Stealer sich verbreitet
Der Angriff wurde erstmals von einem Entwickler der Teloxide Rust-Bibliothek entdeckt, der auf Reddit vor verdächtigen Kommentaren in seinen GitHub-Issues warnte. Eine anschließende Untersuchung durch Sicherheitsexperten von Bleeping Computer deckte tausende ähnlicher Kommentare in diversen GitHub-Projekten auf. Die Angreifer locken Opfer mit Links zu vermeintlichen Patches, die tatsächlich schädliche ausführbare Dateien enthalten.
Der Infektionsprozess beginnt, wenn ein Nutzer auf einen der präparierten Links klickt. Dies führt zum Download einer Zip-Datei namens „fix.zip“, die mehrere DLL-Dateien und eine ausführbare Datei mit der Bezeichnung „x86_64-w64-ranlib.exe“ enthält. Das Archiv ist passwortgeschützt, wobei das Standardpasswort „changeme“ lautet – ein Detail, das die Täuschung noch perfider macht.
Lumma Stealer: Ein vielseitiger Informationsdieb
Analysen der Malware mittels der Sandbox-Umgebung Any.Run bestätigten, dass es sich bei der ausführbaren Datei um den berüchtigten Lumma Stealer handelt. Dieser hochentwickelte Infostealer ist darauf spezialisiert, sensible Daten von infizierten Systemen zu entwenden:
- Browser-Daten: Cookies, Anmeldeinformationen, Passwörter, Kreditkartendaten und Browserverlauf aus gängigen Browsern wie Chrome, Edge und Firefox
- Kryptowährungsinformationen: Wallet-Daten, private Schlüssel und relevante Textdateien
- Sonstige sensible Informationen: Textdateien mit potenziell vertraulichem Inhalt
Ausmaß und Auswirkungen der Kampagne
Die Reichweite dieser Malware-Kampagne ist alarmierend. Sicherheitsforscher Nicholas Sherlock berichtet, dass die Angreifer innerhalb von nur drei Tagen über 29.000 Kommentare auf GitHub veröffentlichten, die Lumma Stealer verbreiteten. Obwohl GitHub-Mitarbeiter kontinuierlich daran arbeiten, diese bösartigen Kommentare zu entfernen, melden zahlreiche Nutzer bereits, Opfer dieses Angriffs geworden zu sein.
Angesichts der Schwere dieser Bedrohung wird allen potenziell betroffenen Nutzern dringend empfohlen, umgehend Schutzmaßnahmen zu ergreifen. Dazu gehören das Zurücksetzen aller Passwörter mit Verwendung einzigartiger Kombinationen für jeden Dienst sowie die Übertragung von Kryptowährungsbeständen in neue, sichere Wallets. Diese Schritte sind entscheidend, um das Risiko von Datendiebstahl und finanziellem Verlust zu minimieren.
Dieser Vorfall unterstreicht die Notwendigkeit erhöhter Wachsamkeit in der Open-Source-Community. Entwickler und Nutzer müssen stets kritisch prüfen, bevor sie Dateien aus unbekannten Quellen herunterladen oder ausführen – selbst wenn diese auf vertrauenswürdigen Plattformen wie GitHub geteilt werden. Kontinuierliche Schulungen zur Cybersicherheit und der Einsatz fortschrittlicher Sicherheitslösungen sind unerlässlich, um sich vor solch raffinierten Angriffen zu schützen und die Integrität der Open-Source-Ökosysteme zu bewahren.