Cybersicherheitsexperten haben eine besorgniserregende Entwicklung entdeckt: Hacker nutzen nun verstärkt die Entwicklerplattform GitHub, um Malware zu verbreiten. Diese Malware wird als populäre Software-Tools und Office-Anwendungen getarnt und mit gefälschten Aktivierungsschlüsseln oder Crackern angeboten. Die Kampagne, die bereits im Sommer 2023 aufgedeckt wurde, hat sich nun auf GitHub ausgeweitet und stellt eine ernsthafte Bedrohung für ahnungslose Nutzer dar.
Anatomie der Malware-Kampagne
Die Cyberkriminellen nutzen eine ausgeklügelte Strategie, um ihre schädliche Software zu verbreiten. Sie erstellen Posts und Kommentare auf GitHub, die scheinbar kostenlose oder gecrackte Versionen beliebter Programme anbieten. Diese Beiträge enthalten kurze, aber überzeugende Beschreibungen der Software, ihrer Vorteile und technischen Anforderungen. In einigen Fällen sind mehrere Benutzerkonten an einem einzigen Post beteiligt, um die Glaubwürdigkeit zu erhöhen.
Taktiken der Angreifer
Die für diese Kampagne verwendeten GitHub-Konten weisen mehrere verdächtige Merkmale auf:
- Die meisten Konten wurden erst kürzlich erstellt
- Einige Konten könnten kompromittiert worden sein
- Passwörter für die infizierten Archive werden als Bilder bereitgestellt
Diese Taktiken erschweren die Erkennung und Entfernung der bösartigen Inhalte durch automatisierte Sicherheitssysteme.
Eskalation der Kampagne
Anfang September 2023 verzeichneten Sicherheitsforscher einen deutlichen Anstieg der Aktivitäten. Die Anzahl der täglich auf GitHub veröffentlichten bösartigen Posts stieg von durchschnittlich 25-40 auf über 100:
- 5. September: 26 Posts
- 17. September: 134 Posts
- 18. September: 166 Posts
- 19. September: 188 Posts
Dieser drastische Anstieg deutet darauf hin, dass die Verbreitung von Malware über GitHub für Cyberkriminelle zunehmend attraktiv wird.
Verbreitete Malware-Familien
Die Angreifer konzentrieren sich hauptsächlich auf die Verbreitung von drei gefährlichen Malware-Familien:
- Vidar: Ein leistungsfähiger Infostealer, der sensible Daten wie Passwörter und Kreditkarteninformationen stiehlt
- Cryptobot: Malware, die auf den Diebstahl von Kryptowährungen spezialisiert ist
- RedLine: Ein vielseitiger Stealer, der Browserdaten, Kryptowährungen und andere vertrauliche Informationen abgreift
Diese Malware wird typischerweise auf Filesharing-Plattformen wie Mega und Mediafire gehostet und über die manipulierten GitHub-Posts verbreitet. Die Kombination aus der Reichweite von GitHub und der Tarnung als legitime Software macht diese Kampagne besonders gefährlich für unvorsichtige Nutzer.
Um sich vor solchen Bedrohungen zu schützen, sollten Nutzer äußerst vorsichtig sein, wenn sie Software aus nicht verifizierten Quellen herunterladen. Es ist ratsam, nur offizielle Websites oder vertrauenswürdige Marktplätze zu nutzen und alle Software mit einem aktuellen Antivirenprogramm zu scannen. Unternehmen und Entwickler sollten ihre GitHub-Konten mit starker Authentifizierung schützen und verdächtige Aktivitäten umgehend melden. Nur durch erhöhte Wachsamkeit und proaktive Sicherheitsmaßnahmen kann die Cybersicherheitsgemeinschaft solche ausgeklügelten Malware-Kampagnen effektiv bekämpfen.