Sicherheitsforscher von Kaspersky haben eine ausgeklügelte Malware-Kampagne namens GitVenom aufgedeckt, die die populäre Entwicklerplattform GitHub missbraucht. Die Angreifer haben über 200 kompromittierte Repositories identifiziert, in denen sie schädlichen Code als legitime Open-Source-Projekte tarnen.
Raffinierte Social-Engineering-Taktiken der Cyberkriminellen
Die Angreifer setzen auf eine durchdachte Täuschungsstrategie, indem sie besonders attraktive Repository-Namen und Beschreibungen verwenden. Sie präsentieren vermeintliche Tools wie Kryptowährungs-Telegram-Bots, Instagram-Automatisierungstools und Gaming-Cheats. Die Glaubwürdigkeit wird durch KI-generierte SEO-optimierte Beschreibungen und manipulierte Commit-Historien künstlich erhöht.
Identifizierte Malware-Varianten und ihre Funktionen
Das Forscherteam hat verschiedene Malware-Typen in den infizierten Repositories nachgewiesen:
- Node.js-Stealer: Spezialisiert auf den Diebstahl sensibler Nutzerdaten
- AsyncRAT: Ermöglicht vollständige Fernsteuerung infizierter Systeme
- Quasar-Backdoor: Gewährt umfassenden Systemzugriff und Datenexfiltration
- Crypto-Clipper: Manipuliert Wallet-Adressen im Zwischenspeicher
Internationale Dimension und finanzielle Auswirkungen
Die Kampagne zeigt eine globale Reichweite, wobei Russland, die Türkei und Brasilien am stärksten betroffen sind. Allein im November 2024 erbeuteten die Cyberkriminellen durch Wallet-Adress-Manipulation etwa 5 Bitcoin (ca. 485.000 USD).
Diese Entwicklung unterstreicht die wachsende Bedrohung durch Malware-Kampagnen, die legitime Entwicklerplattformen missbrauchen. Entwickler und GitHub-Nutzer sollten Repository-Überprüfungen intensivieren und dabei besonders auf Projekthistorie, Community-Aktivität und Entwickler-Reputation achten. Essentiell sind zudem der Einsatz aktueller Sicherheitslösungen und regelmäßige System-Updates. Die GitVenom-Kampagne verdeutlicht die Notwendigkeit erhöhter Wachsamkeit bei der Nutzung von Open-Source-Ressourcen.
