Ein Leser hat uns kontaktiert und einen konkreten Fall auf einem Marktplatz geschildert, der Unternehmen und Freelancer zusammenbringt. Dort erhielt er ein Jobangebot, das mit einem Zugang zu einem Git-Repository versehen war. Ein beim Start des Projekts aufgerufenes, unscheinbares Node-Script lädt dann Schadcode nach und verankert diesen persistent im System.

Das Klonen des beim Jobangebot mitgeteilten Repositories ist noch harmlos. Erst beim Starten, etwa mittels „npm run“, kommt das bösartige Skript zur Ausführung. Der Analyse des Lesers zufolge lädt das Node-Script mittels HTTP JavaScript-Code aus dem Netz nach. Den wertet es mittels eval() aus – das übersetzt eine übergebene Zeichenkette in Code, der schließlich ausgeführt wird und sich im Benutzerverzeichnis des Systems einnistet. Der Schadcode startet im Hintergrund und verbindet sich zu einem Command-and-Control-Server.

Der nachgeladene Schadcode umfasst Infostealer-Funktionen. Er durchsucht den Rechner nach Profilen von Webbrowsern wie Brave, Chrome, Edge, Opera und weiteren und entschlüsselt die darin abgelegten Zugangsdaten mittels Windows-Data-Protection-API (DPAPI). Zudem sucht und sammelt er Cookies, Wallets etwa von Electrum, Exodus und MetaMask sowie .env-Dateien und überträgt sie dann an die Command-and-Control-Server, ergab die Auswertung unseres Lesers. Die Angreifer können zudem Backdoor-Funktionen zum Ausführen von Shell-Befehlen, das Hochladen von Dateien und das Herunterladen weiterer Dateien nutzen.

GitHub kann im konkreten Fall nichts ausrichten, da es sich um ein privates Repository handelt, teilte Microsoft dem Leser offenbar mit. Im konkreten Fall gab es für das vermeintliche Projekt keine öffentliche Ausschreibung, etwa auf Freelancermap oder bei anderen vergleichbaren Anbietern. Der Betrüger hat sich jedoch die Mühe gemacht und einen Namen ausgewählt, der zu einem Entwicklerprofil passt, wenn man mit der Suchmaschine danach sucht.

Masche global bereits gesichtet

Derartige Git-Repositories kennt Kaspersky seit etwa drei Jahren und nennt die Masche „GitVenom“, für vergiftete Git-Repositories. Ein Artikel auf dev.to beschreibt die Masche im englischsprachigen Raum. Dort nennt der Autor auch einige Alarmzeichen, die auf möglicherweise unheilvolle Jobangebote hindeuten. Etwa unaufgefordert angebotene Jobs, die einfach zu gut klingen, oder Druck, Aufgaben so schnell wie möglich zu erledigen. Die Aufforderung, Code als Teil eines Vorstellungsgesprächs herunterzuladen und auszuführen, ist ebenfalls eine „Red Flag“.

Auf technischer Ebene sollte „überall verteilter base64-kodierter Müll“ aufhorchen lassen oder mitgelieferte Dateien, die niemals genutzt werden. Stutzig machen sollten Beschreibungen im README, die komplett davon abweichen, was der Code tatsächlich macht oder etwa Abhängigkeiten, die keinen Sinn in dem Projekt ergeben. Ganz neue GitHub-Konten ohne nennenswerten Verlauf sind ebenfalls verdächtig, ebenso mehrere gleichartige Projekte vom gleichen Account.

Entwickler sollen sich schützen, indem sie etwa alles unabhängig überprüfen und nicht der E-Mail blind vertrauen: Gibt es die Firma tatsächlich, wer steckt dahinter? Gibt es die Stellenausschreibung auch auf der Webseite der Organisation? Ist die Firma bereit, auch Video-Anrufe zu machen und antwortet sinnvoll auf Detailfragen zum Unternehmen? Das Isolieren von solchen Entwicklungsumgebungen in virtuelle Maschinen kann helfen, potenziellen Schaden einzuschränken. Auf jeden Fall müssen Entwickler inzwischen ebenfalls sehr vorsichtig sein, um nicht auf fortgeschrittene Malware-Maschen hereinzufallen.

(dmk)

Seit über fünfzig Jahren ermöglicht der Interrail-Pass günstige Bahnreisen quer durch Europa. Verwaltet wird das Pauschalangebot, das sich zunächst primär an junge Leute richtete, von der Eurail B.V. im niederländischen Utrecht. Diese warnt nun ihre Kunden vor einem Datenleck: Ein Unbekannter hatte Zugriff auf die Kundendatenbank des Unternehmens und konnte so womöglich Stamm- und Ausweisdaten der Interrail-Nutzer abgreifen.

Viele Einzelheiten gibt es zum Vorfall nicht, doch gibt Eurail an, der unbekannte Angreifer hätte auf folgende Daten zugreifen können:

• Bestell- und Reservierungsinformationen,
• Kontakt- und Identitätsdaten sowie
• Nummer, ausstellendes Land und Ablaufdatum von Reisepass oder Personalausweis.

Man speichere bei Interrail-Kunden keine Kopie des Ausweisdokuments, sondern nur die angegebenen Daten, erläutert Eurail. Das gilt jedoch nicht für alle Kunden. Wer eine Fahrkarte im Rahmen des „DiscoverEU“-Programms erworben hat, muss zusätzlich damit rechnen, dass Ausweiskopien, IBAN-Nummer und Gesundheitsdaten in fremde Hände geraten seien, gibt eine separate Meldung an.

Details sind unklar, Ermittlungen laufen

Wann der Vorfall sich ereignete und wen man konkret des Einbruchs verdächtigt, erläutert Eurail nicht. Offenbar ist das Unternehmen jedoch sicher, es handele sich lediglich um eine Einzelperson. Man ermittle weitere Details gemeinsam mit IT-Sicherheitsspezialisten und Forensikern, habe die Sicherheitslücken geschlossen, missbrauchte Zugangsdaten geändert und Sicherheitsmaßnahmen verstärkt. Alle direkt betroffenen Kunden habe man informiert, auch die zuständige Aufsichtsbehörde, die niederländische Autoriteit Persoonsgegevens, sei im Bilde.

Eurail mahnt seine Kunden zur Wachsamkeit: Die Angreifer könnten mit den erbeuteten Daten Phishing- oder Betrugsversuche starten, auch Identitätsdiebstahl sei denkbar. Das Unternehmen hat eine FAQ eingerichtet, um weitere Unterstützung zu leisten.

Bahntickets zum Pauschal- oder Monatspreis sind attraktive Ziele für Betrüger und Fälscher. Das Deutschlandticket wurde über illegale Shops angeboten, was den Verkehrsunternehmen einen Schaden von bis zu einer halben Milliarde Euro seit 2024 bescherte. Auch Ausweiskopien sind beliebt, weil sie bei Identitätsbetrug helfen – sie werden bisweilen zu Tausenden im Darknet gehandelt.

(cku)

Im vergangenen November entschied das Bundesverfassungsgericht, dass die Hausdurchsuchung bei einem Redakteur von Radio Dreyeckland unrechtmäßig war. Ihm wurde vorgeworfen, eine kriminelle Vereinigung unterstützt zu haben, indem er einen Link auf das Archiv von linksunten.indymedia.org gesetzt hatte. Davon war er bereits 2024 freigesprochen worden.

Nun erklärte das Landgericht Karlsruhe weitere Hausdurchsuchungen im Zusammenhang mit Linksunten für rechtswidrig: die bei vermeintlichen Betreiber:innen des Archivs. Im August 2023 durchsuchte die Polizei mehrere Wohnungen von Personen, denen die „Aufrechterhaltung des organisatorischen Zusammenhalts dieser verbotenen Vereinigung“ vorgeworfen wurde. Das war gut ein halbes Jahr nach den Durchsuchungen bei Radio Dreyeckland

In einem Beschluss vom 30. Dezember kommt das Landgericht zum Ergebnis: Die Durchsuchungsanordnungen sowie die vorläufige Sicherstellung aufgefundener elektronischer Datenträger waren rechtswidrig.

Nicht verhältnismäßig, kein ausreichender Anfangsverdacht

Die Durchsuchungsbeschlüsse seien nicht verhältnismäßig gewesen, außerdem sei zweifelhaft, ob es überhaupt einen ausreichenden Anfangsverdacht wegen eines Verstoßes gegen ein Vereinigungsverbot gab. „Nach dem Beschluss des Bundesverfassungsgerichts zur Durchsuchung bei Radio Dreyeckland hatte das Landgericht leichtes Spiel“, sagt der Jurist David Werdermann von der Gesellschaft für Freiheitsrechte, der den Redakteur von Radio Dreyeckland in seinem Fall unterstützt hatte. „Es gab keine ausreichenden Anhaltspunkte dafür, dass die verbotene Vereinigung weiterhin existiert. Das wurde der Staatsanwaltschaft und den Gerichten, die anders entschieden hatten, jetzt nochmal in aller Deutlichkeit unter die Nase gerieben.“

Das Landgericht bezweifelt unter anderem, dass die Existenz einer Archivseite automatisch auf eine fortbestehende Vereinigung hinweist. Außerdem sei das Archiv statisch, neue Beiträge im Sinne der früheren Open-Posting-Plattform sind auf der seit 2020 abrufbaren Seite ebenso wenig möglich wie Kommentare.

Aus dem entsprechenden Beschluss des Landgerichts wird deutlich, dass gegen die angeblichen Archivbetreiber:innen ermittelt wurde, weil im Radio-Dreyeckland-Verfahren von Anfang an fraglich war, ob die verbotene Vereinigung, die der beschuldigte Redakteur unterstützt haben soll, überhaupt existiert.

Nachdem das Verfahren gegen diesen Redakteur infolge eines Beschlusses vom Oberlandesgericht Stuttgart begonnen hatte, leitete die Staatsanwaltschaft ein Ermittlungsverfahren gegen die vermeintlichen Archivbetreiber:innen und damit die Beschuldigten in der Fortführung einer verbotenen Vereinigung ein.

Fast 200 Datenträger

Bei den Hausdurchsuchungen stellte die Polizei „insgesamt knapp 200 Datenträger“ sicher, darunter Laptops, Festplatten und SD-Karten. Erkenntnisse gewannen die Ermittler:innen dadurch nicht. „Im Rahmen der Aufbereitung der Asservate sei aufgefallen, dass der überwiegende Teil verschlüsselt sei“, teilte das baden-württembergische Landeskriminalamt der Staatsanwaltschaft mit. Der Tatvorwurf ließ sich nicht erhärten, das Ermittlungsverfahren wurde im Mai 2025 eingestellt, die Datenträger zurückgegeben.

Der Beschluss zur Unrechtmäßigkeit der Durchsuchungsanordnungen und Sicherstellungen ist rechtskräftig, so das Landgericht Karlsruhe auf Nachfrage, „da eine weitere Beschwerde gegen den Beschluss nicht statthaft ist“.

Schon die Ermittlungen wegen angeblicher Bildung einer kriminellen Vereinigung in Bezug auf die frühere Open-Posting-Seite waren allesamt eingestellt worden. Das Vereinsverbot besteht unterdessen weiter. Das Bundesverwaltungsgericht wies mehrere Klagen dagegen im Jahr 2020 ab, entschied aber nicht zur Tragfähigkeit der Verbotsgründe. Der Grund: Nur die betroffene Vereinigung selbst sei befugt, ein Verbot anzufechten. Von den Klagenden hatte sich jedoch niemand zu einer Mitgliedschaft in derselben bekannt.