Eine heimliche Malware-Kampagne kapert Kryptogeld-Wallets, indem sie bösartigen Code in gefälschte Open-Source-Projekte auf Github einbettet und Entwickler dazu bringt, versteckte Payloads auszuführen.
Hacker verwenden Github, um Krypto zu stehlen—Malware in Open Source versteckt
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
Stealthy Malware auf Github kapert Kryptogeld-Wallets
Eine kürzlich entdeckte Cyber-Kampagne namens Gitvenom hat Github-Nutzer ins Visier genommen, indem sie bösartigen Code in scheinbar legitime Open-Source-Projekte eingebettet hat. Kaspersky-Forscher Georgy Kucherin und Joao Godinho identifizierten die Operation, bei der Cyberkriminelle betrügerische Repositories erstellen, die echte Software-Tools imitieren.
Die Forscher beschrieben:
Im Laufe der Gitvenom-Kampagne haben die hinter ihr stehenden Bedrohungsakteure Hunderte von Repositories auf Github erstellt, die gefälschte Projekte mit bösartigem Code enthalten – zum Beispiel ein Automatisierungsinstrument für die Interaktion mit Instagram-Konten, einen Telegram-Bot zur Verwaltung von Bitcoin-Wallets und ein Hacking-Tool für das Videospiel Valorant.
Die Angreifer haben große Anstrengungen unternommen, um diese Repositories authentisch erscheinen zu lassen, indem sie AI-generierte README.md-Dateien verwendeten, mehrere Tags hinzufügten und die Commit-Verläufe künstlich aufblähten, um die Glaubwürdigkeit zu steigern.
Der bösartige Code wird je nach verwendeter Programmiersprache in den gefälschten Projekten unterschiedlich eingebettet. In Python-Repositories verbergen Angreifer die Payload mithilfe langer Leerzeilen, gefolgt von einem Skript-Entschlüsselungsbefehl. In Javascript-basierten Projekten verstecken sie die Malware innerhalb einer Funktion, die ein Base64-kodiertes Skript decodiert und ausführt. Für C-, C++- und C#-Projekte platzieren die Angreifer ein verstecktes Batch-Skript in Visual Studio-Projektdateien, um sicherzustellen, dass die Malware ausgeführt wird, wenn das Projekt gebaut wird.
Sobald diese Skripte ausgeführt werden, laden sie zusätzliche bösartige Komponenten aus einem von Angreifern kontrollierten Github-Repository herunter. Dazu gehören ein Node.js-basierter Stealer, der Anmeldeinformationen, Kryptowallet-Daten und Browserverlauf extrahiert, bevor er sie über Telegram an Angreifer sendet, sowie Open-Source-Fernzugriffstools wie AsyncRAT und die Quasar-Hintertür. Ein Clipboard-Hijacker wurde ebenfalls eingesetzt, der kopierte Kryptowallet-Adressen durch solche von Angreifern kontrollierte ersetzt.
Die Gitvenom-Kampagne ist seit mindestens zwei Jahren aktiv, wobei Infektionsversuche weltweit festgestellt wurden, insbesondere in Russland, Brasilien und der Türkei. Kaspersky-Forscher betonten die zunehmenden Risiken von bösartigen Repositories und warnten:
Da Code-Sharing-Plattformen wie Github von Millionen von Entwicklern weltweit genutzt werden, werden Bedrohungsakteure sicherlich weiterhin gefälschte Software als Infektionsköder verwenden.
“Aus diesem Grund ist es entscheidend, die Verarbeitung von Drittanbieter-Code sehr sorgfältig zu handhaben. Bevor versucht wird, solchen Code auszuführen oder in ein bestehendes Projekt zu integrieren, ist es von größter Bedeutung, gründlich zu überprüfen, welche Aktionen er ausführt”, warnten sie. Da Open-Source-Plattformen weiterhin von Cyberkriminellen ausgenutzt werden, müssen Entwickler Vorsicht walten lassen, um zu verhindern, dass ihre Umgebungen kompromittiert werden.
