Entwicklung & Code

Fake-GitHub-Repositorys: Infostealer statt Security- oder Developer-Tools


Angreifer haben hunderte GitHub-Repositorys angelegt, die vermeintlich von bekannten Firmen stammen. Ein Link auf die „official page“ im Readme führt zu einer Seite der Angreifer, die einen Infostealer verteilt.

Weiterlesen nach der Anzeige

Die Schadsoftware greift Credentials und vertrauliche Daten von mindestens 19 Webbrowsern und zahlreichen Krypto-Wallets ab. Auch Messenger und Social-Media-Anwendungen sowie Steam-Accounts sind im Fokus der Angreifer.

Der Angriff nutzt keine Schwachstellen aus, sondern setzt auf Brandjacking und Social Engineering. Die Repositorys geben vor, von bekannten Firmen unter anderem aus den Bereichen Security, Entwicklungswerkzeuge, Krypto-Tools, Fintech und Gaming-Software zu stammen. Der Schadcode läuft ausschließlich auf Windows-Rechnern.

Sicherheitsforscher von Arctic Wolf haben den Angriff entdeckt. Der Auslöser war, dass ein Fake-Repository vorgab, von Arctic Wolf zu stammen. Bei den weiteren Untersuchungen haben die Forscher festgestellt, dass die Angreifer insgesamt 292 Repositorys erstellt hatten, von denen GitHub inzwischen die meisten entfernt hat.

Einige Repositorys sind jedoch vermutlich noch aktiv und es ist möglich, dass die Angreifer weitere Fake-Repositorys erstellen.

Der Angriffsvektor ist jedes Mal derselbe. Für das Fake-Repository zu Arctic Wolf enthielt die Markdown-Datei mit dem Readme (README.md) einen Link zur vermeintlichen „official page“ des Anbieters und der Software. Dieser Link führte zu einer Domain der Angreifer, die sich wiederum als Arctic-Wolf-Seite ausgab und ein Paket zum kostenlosen Download angeboten hat.

Weiterlesen nach der Anzeige

Der Download-Button trug die Schrift „Download Secure Content“ und zahlreiche Badges wiesen darauf hin, dass die Verbindung sicher und die Software auf Viren geprüft sei.



Viel grüne Farbe und viel „Secure“ sollen ein Gefühl der Sicherheit vermitteln (Abb. 1).

(Bild: Arctic Wolf)

Der Klick auf den Button löste den Download einer ZIP-Datei aus. Offenbar erzeugte der Server, der das Paket verteilte, im Minutentakt frische Pakete mit jeweils geänderten ZIP-Dateinamen und neuen Namen der Executables.

Neben dem Schadcode enthielt das Archiv viel Beifang, der nach Vermutung der Sicherheitsforscher lediglich dazu dient, die ZIP-Datei auf die erwartete Größe zu bringen. Der eigentliche Schadcode steckte in zwei Dateien: gup.exe zum Laden der Datei libcurl.dll, die wiederum den Infostealer dekodiert und im Speicher ausführt.




(Bild: AliaAyah / Shutterstock)

Am 22. und 23. September findet die heise devSec 2026 statt. Die zehnte Auflage der Konferenz zu sicherer Softwareentwicklung wandert dieses Jahr nach Marburg. Weiterhin lautet das Motto „Sichere Software beginnt vor der ersten Zeile Code“.

Der Infostealer ist laut der Analyse von Arctic Wolf eine Variante des im März von Trend Micro entdeckten BoryptGrab, der darauf ausgelegt ist, zahlreiche Daten und Credentials abzugreifen. Allerdings ist der für den Angriff genutzte Schadcode auf ein Minimum reduziert und lädt im Gegensatz zu BoryptGrab keine weiteren Payloads nach.

Die einzelnen Module des Infostealers zielen dabei auf unterschiedliche Browser, Messenger, Krypto-Wallets und mehr.

Die gesammelten Daten schickt die Software schließlich als ZIP-Archiv an einen russischen Server.



Der Schadcode greift Daten aus diversen Browsern, Messengern, Steam und anderen Anwendungen ab und schickt die gesammelten Informationen komprimiert an den Server der Angreifer (Abb. 2).

(Bild: Arctic Wolf)

Der Infostealer läuft nach dem Start nur einmal durch und versucht nicht, sich als automatisch gestarteter Prozess festzusetzen. Er macht auch keine Anstalten, sich auf andere Systeme zu verteilen.

Auch verzichtet der Schadcode auf Aufräumarbeiten: Alle gesammelten Daten und auch Logdateien der Software bleiben in einem temporären Verzeichnis, das die Software nach getaner Arbeit nicht löscht.

Weitere Details zu den einzelnen Modulen im Infostealer und den spezifischen IP-Adressen der Angreifer finden sich im Arctic-Wolf-Blog.


(rme)



Source link

Beliebt

Die mobile Version verlassen