Neue Masche unter Cyberkriminellen

Wenn Hacker andere Hacker hacken

Cyberkriminelle, hacker vs hacker, hacker versus hacker, Fake Repositories GitHub Malware, Hacker, cyber crime
LinkedInRedditWhatsAppPocket

Eine neue Masche macht in der Cyberunterwelt die Runde: Hacker attackieren ausgerechnet ihre eigenen Kollegen. Hinter dem perfiden Plan steckt offenbar eine gezielte Kampagne. Eine russische E-Mail-Adresse spielt dabei eine Schlüsselrolle.

Täuschung im Tarnmantel

Die IT-Sicherheitsexperten von Sophos X-Ops haben eine ungewöhnliche Betrugsmasche aufgedeckt. Insgesamt 133 gefälschte GitHub-Repositories wurden so gestaltet, dass sie vermeintlich Schadsoftware oder Gaming-Cheats enthalten. Doch wer den Code ausführt, lädt sich stattdessen Malware auf den eigenen Rechner – und in die Spur eines Akteurs mit dem rätselhaften Namen ischhfd83.

Anzeige

Spur führt nach Russland

Trotz verschiedener Designs und Inhalte führen die meisten Repositories auf dieselbe russische E-Mail-Adresse zurück. Das deutet darauf hin, dass eine einzelne Kampagne dahintersteht – vermutlich gesteuert von einer Person oder kleinen Gruppe.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Täuschend echt programmiert

Die Täter investierten viel Aufwand, um ihre Projekte glaubwürdig erscheinen zu lassen. Sie erstellten automatisch tausende Updates, um Aktivität vorzutäuschen, und verwendeten mehrere Varianten von Backdoors. In den meisten Fällen wurden Infostealer oder der Fernzugriffstrojaner AsyncRat nachgeladen. Besonders kurios: Das Projekt SakuraRAT wurde versehentlich von Medien und Social-Media-Nutzern aufgegriffen und verbreitet.

Verrat in der Unterwelt

Dass Cyberkriminelle sich gegenseitig betrügen, ist nicht neu. Sophos beschreibt eine ganze Schattenwirtschaft, in der Cyberbetrüger sich gegenseitig ausnehmen. Auch frühere Auseinandersetzungen zwischen Gruppen wie DragonForce und RansomHub zeigen, wie rücksichtslos innerhalb der Szene vorgegangen wird.

Anzeige

GitHub zieht Konsequenzen

Die betroffenen Repositories wurden nach der Entdeckung von Sophos weitgehend gelöscht. Auch andere Plattformen, auf denen die Schadsoftware gehostet wurde, haben reagiert.

Weitere Informationen:

Wer sich für technische Details interessiert, findet die vollständige Analyse im Blogbeitrag „The strange tale of ischhfd83: When cybercriminals eat their own“.

(vp/Sophos)


Anzeige

Weitere Artikel

Handy statt Kleingeld: Immer mehr Ältere zahlen per Smartphone
Barracuda launcht BarracudaONE
Twilio und Orange stärken RCS Business Messaging
Keeper Security gewinnt 2025 Fortress Cybersecurity Award
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.