heise PlusAbo
Anzeige

Bösartiger Code in 200 GitHub-Repositories stiehlt knapp 500.000 Euro

Eine Malware-Kampagne in GitHub-Repositories hat es auf Bankdaten und Bitcoin-Wallets abgesehen. Der Schadcode wird oft erst zur Build-Zeit ausgefĂĽhrt.

vorlesen Druckansicht 9 Kommentare lesen
Datei auf dem Computerbildschirm verteilt Viren und Malware

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Developer
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die Sicherheitsfirma Kaspersky warnt von einer neuen Attacke auf GitHub-Repositories, in der die Angreifer harmlose Fake-Software anbieten, die Bankdaten und Bitcoin-Wallets stiehlt. Seit circa zwei Jahren ist die von Kaspersky GitVenom getaufte Kampagne aktiv, und die 200 enttarnten Fake-Repos werben fĂĽr kleinere Tools, wie einen Instagram-Manager, einen Telegram-Remote-Zugriff, ein Bitcoin-Wallet oder einen Crack fĂĽr das Spiel Valorant.

Die Beschreibungen in den Repos und die Readme-Datei liegen in mehreren Sprachen vor und sind laut der Kaspersky-Analysten in guter Qualität – vermutlich mit KI erzeugt. Für Qualität stehen auch eine Vielzahl an Commits, die jedoch wohl nur automatisiert erzeugte Zeitstempel enthalten. Als Sprachen nennen die Repos Python, JavaScript, C, C++ und C#.

Videos by heise

Die Software, die die Anwenderin oder der Anwender sich in Wirklichkeit damit installieren, lädt schädliche Komponenten nach, die versuchen alle möglichen persönlichen Daten zu stehlen, darunter Bankkonten oder Coin-Adressen aus der Zwischenablage. In einer Wallet-Adresse der Diebe fanden die Analysten den Wert von 5 Bitcoins – knapp 500.000 Euro. Die meisten Fälle gab es in Brasilien, Russland und der Türkei.

Datenklau per Telegram

GitVenom beinhaltet folgende Malware-Komponenten:

  • Stealer auf der Basis von Node.js, der es auf Login-Daten, Wallets und die Browser-History abgesehen hat.
  • Clipper fĂĽr die Zwischenablage, der Wallet-Adressen durch die der Angreifer ersetzt.
  • Remote-Access-Tool mit Keylogger: AsyncRAT.
  • Backdoor: Quasar.

Diese Dateien überträgt die Malware per Telegram an die Angreifer.

(Bild: Kaspersky)

Die Malware sendet die Daten als 7Zip-Archiv über Telegram zu den Dieben. Der schädliche Code ist teilweise in langen Code-Zeilen versteckt oder in Projektdateien von Visual Studio, die erst zur Build-Zeit ausgeführt werden, falls ein Anwender ein solches Projekt in ein eigenes integriert.

Ein Beispiel für den schädlichen Code, der erst zur Build-Zeit ausgeführt wird.

(Bild: Kaspersky)

Immer wieder werden Repositories mit schädlichen Zielen zweckentfremdet. Als Schutzmaßnahmen empfiehlt Kaspersky, einen wachen Blick auf die Repositories zu werfen: Wie sehen die Accounts der Contributoren aus? Sind die Zahlen und Daten für Sterne, Beobachter und Commits plausibel und passen zueinander? Wie sieht der Code in den Commits aus? Außerdem sollten Anwenderinnen und Anwender vorsichtig mit Repos sein, die über Chats oder Social Media verbreitet wurden. Weitere Informationen finden sich im Blog der Firma.

(who)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten