Malware-Masche: Jobangebote jubeln Entwicklern bösartige Repositories unter

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Ein Leser hat uns kontaktiert und einen konkreten Fall auf einem Marktplatz geschildert, der Unternehmen und Freelancer zusammenbringt. Dort erhielt er ein Jobangebot, das mit einem Zugang zu einem Git-Repository versehen war. Ein beim Start des Projekts aufgerufenes, unscheinbares Node-Script lädt dann Schadcode nach und verankert diesen persistent im System.

Das Klonen des beim Jobangebot mitgeteilten Repositories ist noch harmlos. Erst beim Starten, etwa mittels „npm run“, kommt das bösartige Skript zur Ausführung. Der Analyse des Lesers zufolge lädt das Node-Script mittels HTTP JavaScript-Code aus dem Netz nach. Den wertet es mittels eval() aus – das übersetzt eine übergebene Zeichenkette in Code, der schließlich ausgeführt wird und sich im Benutzerverzeichnis des Systems einnistet. Der Schadcode startet im Hintergrund und verbindet sich zu einem Command-and-Control-Server.

Der nachgeladene Schadcode umfasst Infostealer-Funktionen. Er durchsucht den Rechner nach Profilen von Webbrowsern wie Brave, Chrome, Edge, Opera und weiteren und entschlüsselt die darin abgelegten Zugangsdaten mittels Windows-Data-Protection-API (DPAPI). Zudem sucht und sammelt er Cookies, Wallets etwa von Electrum, Exodus und MetaMask sowie .env-Dateien und überträgt sie dann an die Command-and-Control-Server, ergab die Auswertung unseres Lesers. Die Angreifer können zudem Backdoor-Funktionen zum Ausführen von Shell-Befehlen, das Hochladen von Dateien und das Herunterladen weiterer Dateien nutzen.

GitHub kann im konkreten Fall nichts ausrichten, da es sich um ein privates Repository handelt, teilte Microsoft dem Leser offenbar mit. Im konkreten Fall gab es für das vermeintliche Projekt keine öffentliche Ausschreibung, etwa auf Freelancermap oder bei anderen vergleichbaren Anbietern. Der Betrüger hat sich jedoch die Mühe gemacht und einen Namen ausgewählt, der zu einem Entwicklerprofil passt, wenn man mit der Suchmaschine danach sucht.

Masche global bereits gesichtet

Derartige Git-Repositories kennt Kaspersky seit etwa drei Jahren und nennt die Masche „GitVenom“, für vergiftete Git-Repositories. Ein Artikel auf dev.to beschreibt die Masche im englischsprachigen Raum. Dort nennt der Autor auch einige Alarmzeichen, die auf möglicherweise unheilvolle Jobangebote hindeuten. Etwa unaufgefordert angebotene Jobs, die einfach zu gut klingen, oder Druck, Aufgaben so schnell wie möglich zu erledigen. Die Aufforderung, Code als Teil eines Vorstellungsgesprächs herunterzuladen und auszuführen, ist ebenfalls eine „Red Flag“.

Auf technischer Ebene sollte „überall verteilter base64-kodierter Müll“ aufhorchen lassen oder mitgelieferte Dateien, die niemals genutzt werden. Stutzig machen sollten Beschreibungen im README, die komplett davon abweichen, was der Code tatsächlich macht oder etwa Abhängigkeiten, die keinen Sinn in dem Projekt ergeben. Ganz neue GitHub-Konten ohne nennenswerten Verlauf sind ebenfalls verdächtig, ebenso mehrere gleichartige Projekte vom gleichen Account.

Entwickler sollen sich schützen, indem sie etwa alles unabhängig überprüfen und nicht der E-Mail blind vertrauen: Gibt es die Firma tatsächlich, wer steckt dahinter? Gibt es die Stellenausschreibung auch auf der Webseite der Organisation? Ist die Firma bereit, auch Video-Anrufe zu machen und antwortet sinnvoll auf Detailfragen zum Unternehmen? Das Isolieren von solchen Entwicklungsumgebungen in virtuelle Maschinen kann helfen, potenziellen Schaden einzuschränken. Auf jeden Fall müssen Entwickler inzwischen ebenfalls sehr vorsichtig sein, um nicht auf fortgeschrittene Malware-Maschen hereinzufallen.

(dmk)