Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Fake-GitHub-Repositorys: Infostealer statt Security- oder Developer-Tools

Дата публикации: 15-07-2026 10:40:00

Gut 290 GitHub-Repositorys, die angeblich von Securityanbietern, Toolherstellern und weiteren Firmen sind, verteilen Schadcode zum Abgreifen von Daten.

Основное содержимое страницы с новостью.

  1. Fake-GitHub-Repositorys: Infostealer statt Security- oder Developer-Tools

Angreifer haben hunderte GitHub-Repositorys angelegt, die vermeintlich von bekannten Firmen stammen. Ein Link auf die „official page“ im Readme führt zu einer Seite der Angreifer, die einen Infostealer verteilt.

Die Schadsoftware greift Credentials und vertrauliche Daten von mindestens 19 Webbrowsern und zahlreichen Krypto-Wallets ab. Auch Messenger und Social-Media-Anwendungen sowie Steam-Accounts sind im Fokus der Angreifer.

Der Angriff nutzt keine Schwachstellen aus, sondern setzt auf Brandjacking und Social Engineering. Die Repositorys geben vor, von bekannten Firmen unter anderem aus den Bereichen Security, Entwicklungswerkzeuge, Krypto-Tools, Fintech und Gaming-Software zu stammen. Der Schadcode läuft ausschließlich auf Windows-Rechnern.

Vermeintlich bekannte Firmen hinter den Repositorys

Sicherheitsforscher von Arctic Wolf haben den Angriff entdeckt. Der Auslöser war, dass ein Fake-Repository vorgab, von Arctic Wolf zu stammen. Bei den weiteren Untersuchungen haben die Forscher festgestellt, dass die Angreifer insgesamt 292 Repositorys erstellt hatten, von denen GitHub inzwischen die meisten entfernt hat.

Einige Repositorys sind jedoch vermutlich noch aktiv und es ist möglich, dass die Angreifer weitere Fake-Repositorys erstellen.

Der Angriffsvektor ist jedes Mal derselbe. Für das Fake-Repository zu Arctic Wolf enthielt die Markdown-Datei mit dem Readme (README.md) einen Link zur vermeintlichen „official page“ des Anbieters und der Software. Dieser Link führte zu einer Domain der Angreifer, die sich wiederum als Arctic-Wolf-Seite ausgab und ein Paket zum kostenlosen Download angeboten hat.

Der Download-Button trug die Schrift „Download Secure Content“ und zahlreiche Badges wiesen darauf hin, dass die Verbindung sicher und die Software auf Viren geprüft sei.

Screenshot Arctic Wolf Download

Viel grüne Farbe und viel „Secure“ sollen ein Gefühl der Sicherheit vermitteln (Abb. 1).

(Bild: Arctic Wolf)

Schadcode auf Klick

Der Klick auf den Button löste den Download einer ZIP-Datei aus. Offenbar erzeugte der Server, der das Paket verteilte, im Minutentakt frische Pakete mit jeweils geänderten ZIP-Dateinamen und neuen Namen der Executables.

Neben dem Schadcode enthielt das Archiv viel Beifang, der nach Vermutung der Sicherheitsforscher lediglich dazu dient, die ZIP-Datei auf die erwartete Größe zu bringen. Der eigentliche Schadcode steckte in zwei Dateien: gup.exe zum Laden der Datei libcurl.dll, die wiederum den Infostealer dekodiert und im Speicher ausführt.

(Bild: AliaAyah / Shutterstock)

Am 22. und 23. September findet die heise devSec 2026 statt. Die zehnte Auflage der Konferenz zu sicherer Softwareentwicklung wandert dieses Jahr nach Marburg. Weiterhin lautet das Motto „Sichere Software beginnt vor der ersten Zeile Code“.

Der Infostealer ist laut der Analyse von Arctic Wolf eine Variante des im März von Trend Micro entdeckten BoryptGrab, der darauf ausgelegt ist, zahlreiche Daten und Credentials abzugreifen. Allerdings ist der für den Angriff genutzte Schadcode auf ein Minimum reduziert und lädt im Gegensatz zu BoryptGrab keine weiteren Payloads nach.

Die einzelnen Module des Infostealers zielen dabei auf unterschiedliche Browser, Messenger, Krypto-Wallets und mehr.

Die gesammelten Daten schickt die Software schließlich als ZIP-Archiv an einen russischen Server.

Der Schadcode greift Daten aus diversen Browsern, Messengern, Steam und anderen Anwendungen ab und schickt die gesammelten Informationen komprimiert an den Server der Angreifer (Abb. 2).

(Bild: Arctic Wolf)

Kein Aufräumen der Spuren

Der Infostealer läuft nach dem Start nur einmal durch und versucht nicht, sich als automatisch gestarteter Prozess festzusetzen. Er macht auch keine Anstalten, sich auf andere Systeme zu verteilen.

Auch verzichtet der Schadcode auf Aufräumarbeiten: Alle gesammelten Daten und auch Logdateien der Software bleiben in einem temporären Verzeichnis, das die Software nach getaner Arbeit nicht löscht.

Weitere Details zu den einzelnen Modulen im Infostealer und den spezifischen IP-Adressen der Angreifer finden sich im Arctic-Wolf-Blog.

(rme)

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Поддельный Go DNS Scanner обнаружили в 222 GitHub-репозиториях с вредоносным ПО0711-07-2026
2 Malicious GitHub Repositories Could Trick AI Coding Agents Into Running Hidden Malware, Researchers Warn 0728-06-2026
3Безопасно ли запускать GitHub Advanced Security?0503-06-2026
4ИБ-исследователь публикует в Exploitarium эксплоиты для десятков 0-day-уязвимостей0802-07-2026
5В России внезапно перестал работать GitHub0714-07-2026
6Футбольный финт: «Лаборатория Касперского» выявила сотни поддельных сайтов, имитирующих официальные ресурсы FIFA0719-06-2026
7OnlyFans: Hacker will 340 Millionen Nutzerdaten verkaufen0727-05-2026
8Куда бежать с github?-2503-07-2026
9Several npm repositories compromised0501-06-2026

Классификация: Пресс-релизы. Схожих патентов: 0. Схожих новостей: 9. Тональность: -2. Информативность: 6. Источник: www.heise.de.