Cybersecurity-Experten von Sophos haben eine ausgeklügelte und weitreichende Malware-Kampagne aufgedeckt, die gezielt Hacker, Gamer und Sicherheitsforscher ins Visier nimmt. Die Angreifer nutzen die vertrauenswürdige GitHub-Plattform als Verbreitungskanal und tarnen ihre Schadsoftware als legitime Hacking-Tools, Gaming-Cheats und Sicherheits-Exploits.
Entdeckung durch Sakura RAT-Analyse führt zu größerem Netzwerk
Der Ausgangspunkt der Untersuchung war eine Kundenanfrage bei Sophos zur Bewertung des Sakura RAT-Trojaner, der öffentlich auf GitHub verfügbar war. Bei der detaillierten Analyse stellten die Forscher fest, dass der Trojaner selbst nicht funktionsfähig war, jedoch einen versteckten PreBuildEvent-Mechanismus im Visual Studio-Projekt enthielt. Dieser Mechanismus löst automatisch den Download und die Installation von Malware aus, sobald Benutzer versuchen, den Code zu kompilieren.
Die weitere Untersuchung enthüllte das wahre Ausmaß der Bedrohung: Der Herausgeber des Sakura RAT unter dem Pseudonym ischhfd83 war mit 141 GitHub-Repositories verbunden, von denen 133 Tools mit versteckten Backdoors enthielten.
Raffinierte Tarnung durch automatisierte Fake-Aktivität
Die Cyberkriminellen setzten hochentwickelte Verschleierungstechniken ein, um ihren Projekten Legitimität zu verleihen. Sämtliche Commits in den Repositories wurden vollständig automatisiert, wodurch der Eindruck aktiver Entwicklungsarbeit entstand. Einzelne Projekte wiesen nahezu 60.000 Commits auf, obwohl sie erst wenige Monate zuvor erstellt worden waren.
Im Durchschnitt verzeichneten die bösartigen Repositories zum Zeitpunkt der Analyse 4.446 Commits. Die Angreifer beschränkten sich auf maximal drei Mitwirkende pro Repository und erstellten verschiedene Benutzerkonten, wobei sie die Anzahl der Repositories pro Konto auf höchstens neun Projekte begrenzten, um Verdacht zu vermeiden.
Zielgruppen und Verbreitungskanäle der Malware-Kampagne
Der Traffic zu den bösartigen Repositories stammte aus verschiedenen Quellen, darunter YouTube, Discord und spezialisierte Hacker-Foren. Besonders effektiv erwies sich die mediale Berichterstattung über Sakura RAT, die das Interesse von Nachwuchs-Hackern und Script-Kiddies weckte.
Die Kampagne richtete sich an drei Hauptzielgruppen: Hacker und Sicherheitsforscher auf der Suche nach neuen Tools, Gamer mit Interesse an Cheats und Modifikationen sowie IT-Spezialisten, die Malware-Samples untersuchen.
Mehrstufiger Infektionsmechanismus mit komplexer Payload
Beim Download und Ausführen der trojaner-infizierten Dateien startet eine komplexe Angriffskette. Der Prozess umfasst die Ausführung von VBS-Skripten, den Download verschlüsselter Payloads über PowerShell von fest kodierten URLs, das Abrufen von 7zip-Archiven von GitHub und die Ausführung einer speziellen Electron-Anwendung namens SearchFilter.exe.
Die finale Payload enthält obfuskierten Code für System-Profiling, Befehlsausführung, Deaktivierung des Windows Defender und Extraktion zusätzlicher Komponenten. Unter der entdeckten Malware befanden sich Infostealer und Remote-Access-Trojaner wie Lumma, AsyncRAT und Remcos.
Vielfältige Backdoor-Techniken im Einsatz
Die Forscher identifizierten verschiedene Arten versteckter Backdoors: Python-Skripte mit obfuskierter Payload, bösartige Bildschirmschoner-Dateien (.scr) mit Unicode-Nutzung, JavaScript-Dateien mit kodierter Payload und Visual Studio PreBuild-Events für automatische Ausführung.
Schutzmaßnahmen gegen GitHub-basierte Angriffe
Diese Untersuchung verdeutlicht die erheblichen Risiken beim Einsatz ungeprüften Codes aus öffentlichen Repositories. Entwickler und Sicherheitsforscher sollten besondere Vorsicht bei GitHub-Projekten walten lassen, insbesondere bei solchen, die fertige Lösungen für Hacking oder Cheating versprechen.
Wirksamer Schutz erfordert einen ganzheitlichen Ansatz: sorgfältige Überprüfung des Quellcodes vor der Kompilierung, Verwendung isolierter Umgebungen für das Testen verdächtiger Software und regelmäßige Überwachung der Netzwerkaktivität. Dieser Fall unterstreicht die Bedeutung kritischen Denkens selbst in der Informationssicherheits-Community, wo Angreifer erfolgreich das Vertrauen und die Neugier von Fachleuten ausnutzen.