Thought Leadership
Über 10.000 gefälschte Repositories auf GitHub verteilen Krypto-Trojaner. Experten vermuten, dass die Kampagne gezielt autonome KI-Agenten ins Visier nimmt.
Ein Softwareentwickler mit dem Pseudonym Orchid hat eine automatisierte Angriffswelle auf der Entwicklerplattform GitHub aufgedeckt. Dabei klonen die Angreifer gezielt neu erstellte Repositories, fügen Schadcode hinzu und manipulieren die Suchergebnisse auf Google und Bing so, dass die Fälschungen über den Originalen platziert werden. Bislang wurden rund 10.000 dieser manipulierten Repositories identifiziert.
Die gefälschten Projekte werden alle paar Stunden aktualisiert, um Entdeckungen zu vermeiden. IT-Experten auf Plattformen wie Hacker News vermuten, dass die Kampagne primär auf autonome KI-Agenten abzielt. Während menschliche Entwickler seltener bösartige ausführbare Dateien aus unzuverlässigen Quellen starten, laden automatisierte KI-Systeme bei der Suche nach Abhängigkeiten Codebestandteile oft ungeprüft herunter.
Infektionskette über Blockchain und Infostealer
Die Täter versuchen, Opfer über die Readme-Dokumente der geklonten Repositories zum Download eines präparierten ZIP-Archivs zu verleiten. Dieses Archiv enthält meist eine ausführbare Datei, ein Windows-Befehlsskript, eine Dekorations-Textdatei sowie eine Lua-Bibliothek. Das Sicherheitsunternehmen HexaStrike analysierte die Schadsoftware und stellte fest, dass nach dem Entpacken ein LuaJIT-Interpreter gestartet wird.
Dieser führt Prüfungen zur Umgehung von Debugging-Tools durch und ermittelt die Adresse des Kontrollservers über einen Smart Contract auf der Polygon-Blockchain. In der nächsten Phase wird der Infostealer StealC nachgeladen. Diese Schadsoftware ist in der Lage, Passwörter, Krypto-Wallets, Kreditkartendaten, Browserverläufe und Zugänge zu Plattformen wie Discord und Steam zu entwenden. Ein bloßes Überprüfen des Download-Links bei Plattformen wie VirusTotal schlägt laut den Berichten fehl, da erst das physische ZIP-Archiv als bösartig erkannt wird.
Verzögerte Löschung durch den Plattformbetreiber GitHub
GitHub hat mit der Entfernung der betroffenen Repositories begonnen, nachdem Orchid eine Liste von 9.330 bösartigen Instanzen veröffentlicht hatte. Der Entdecker wies jedoch darauf hin, dass die automatischen Erkennungssysteme der Plattform versagen und einige bösartige Klone seit über einem Jahr online sind. Bei persönlichen Meldungen dauerte die Löschung in der Vergangenheit oft mehrere Wochen. Zu den Mustern der Schadsoftware äußerte sich der Entwickler Orchid in einem Blogbeitrag wie folgt:
„Ich habe 10.000 Repositories auf GitHub gefunden, die Trojaner-Malware verbreiten. Sie stammen alle von verschiedenen Mitwirkenden, haben unterschiedliche Namen und sind keine Forks von anderen Repositories. Aber sie teilen ein gemeinsames Muster, das es mir ermöglichte, ein Skript zu schreiben, um solche Repositories zu finden.“
Softwareentwickler mit Pseudonym Orchid
Die Sicherheitsanalysten von HexaStrike gehen aufgrund der übereinstimmenden Infrastruktur und der synchronisierten Aktualisierungen von einem einzelnen Akteur oder einer eng kontrollierten Gruppe hinter den Angriffen aus.
(red)
