Kaspersky warnt vor mit Malware infizierten GitHub-Projekten: Wie Hacker Anmeldedaten stehlen

Cyberkriminelle nutzen GitHub aus, um über gefälschte Repositories Malware zum Diebstahl von Anmeldedaten zu verbreiten, warnt das Cybersicherheitsunternehmen Kaspersky.

Die Kampagne mit dem Namen „GitVenom“ beinhaltet, dass Angreifer scheinbar legitime Projekte erstellen, die mit Schadcode gefüllt sind und die Geräte der Benutzer beim Herunterladen infizieren.

Diese Repositorien sind auf Entwickler, Krypto-Nutzer und Unternehmen ausgerichtet, die auf Open-Source-Software angewiesen sind.

Kasperskys am 24. Februar veröffentlichte Studie zeigt, wie Bedrohungsakteure die GitHub-Plattform manipulieren, um ihre Repositories glaubwürdig erscheinen zu lassen.

Durch den Einsatz künstlicher Intelligenz zur Generierung von Dokumentation und die Aktualisierung von Zeitstempeln, um eine aktive Entwicklung vorzutäuschen, bringen Hacker ahnungslose Benutzer dazu, Malware herunterzuladen und auszuführen.

Die Risiken gehen über Entwickler hinaus, die nach Open-Source-Tools suchen.

Die Malware in diesen Repositories umfasst Informationsdiebe, Remote-Access-Trojaner (RATs) und Clipboard-Hijacker, die alle darauf abzielen, Anmeldedaten, Cryptocurrency wallets und persönliche Daten abzugreifen.

Da Cyberkriminelle ihre Taktiken ständig verfeinern, sehen sich GitHub-Nutzer einer sich entwickelnden Cybersicherheitsbedrohung ausgesetzt, die sich über mehrere Branchen erstreckt.

Als Software getarnte Malware

Kasperskys Bericht beschreibt detailliert, wie Hacker mit irreführenden Taktiken Malware unter dem Deckmantel nützlicher Tools verbreiten.

Viele gefälschte Repositories geben vor, Software wie Telegram-Bots zur Verwaltung von Bitcoin-Wallets oder Automatisierungstools für Social-Media-Plattformen wie Instagram anzubieten.

In Wirklichkeit dienen diese Projekte als Tarnung für die Verbreitung von Malware, die darauf ausgelegt ist, sensible Daten zu sammeln.

Nach der Installation aktiviert sich die Malware und beginnt mit dem Auslesen von Anmeldedaten, Informationen zu Cryptocurrency wallet und Browserverlauf.

Die gestohlenen Daten werden dann über Telegram an die Angreifer übermittelt, wodurch diese aus der Ferne auf Konten zugreifen und Gelder stehlen können.

Clipboard-Hijacker erhöhen das Risiko zusätzlich, indem sie kopierte Wallet-Adressen überwachen und diese durch von Hackern kontrollierte Adressen ersetzen – so werden Transaktionen an Cyberkriminelle umgeleitet.

Kasperskys Forschung ergab, dass viele dieser bösartigen Projekte seit mindestens zwei Jahren aktiv sind, was ihre Wirksamkeit bei der Täuschung von Opfern unterstreicht.

Die Raffinesse dieser Angriffe deutet darauf hin, dass Cyberkriminelle GitHub als lukrativen Vektor für die Verbreitung von Malware identifiziert haben und ihre Techniken wahrscheinlich weiter verfeinern werden.

Mit GitVenom in Verbindung stehende Kryptodiebstähle

Die Auswirkungen der GitVenom-Kampagne waren erheblich, da Hacker erfolgreich Gelder von ahnungslosen Opfern abzweigten.

In einem im November 2024 gemeldeten Fall erhielt eine von einem Hacker kontrollierte Wallet fünf Bitcoin im Wert von damals etwa 442.000 US-Dollar.

Obwohl die mit Malware infizierten GitHub-Repositories weltweit entdeckt wurden, stellt Kaspersky fest, dass Nutzer in Russland, Brasilien und der Türkei überproportional stark betroffen waren.

Angesichts der großen Anzahl von Entwicklern und Unternehmen, die sich bei der Softwareentwicklung auf GitHub verlassen, könnten diese Angriffe eskalieren, wenn keine proaktiven Sicherheitsmaßnahmen ergriffen werden.

Die zunehmende Verwendung von KI-generierter Dokumentation und irreführenden Update-Protokollen deutet darauf hin, dass Bedrohungsakteure ihre Methoden zur Vermeidung von Entdeckung weiterentwickeln.

Sicherheitsforscher warnen davor, dass ähnliche Malware-Kampagnen anhalten und zu weiteren Diebstählen von Zugangsdaten und finanziellen Verlusten führen werden, solange GitHub und seine Nutzer keine strengeren Überprüfungsprozesse implementieren.

Die Kryptoindustrie verlor 2024 1,49 Milliarden Dollar.

Kasperskys Ergebnisse decken sich mit breiteren Trends im Bereich der Cybersicherheit im Krypto-Sektor.

Laut einem Bericht des Blockchain-Sicherheitsunternehmens Immunefi erlitt die Kryptoindustrie im Jahr 2024 Verluste in Höhe von 1,49 Milliarden US-Dollar durch Hackerangriffe und Betrug.

Dies bedeutete einen Rückgang von 17 % gegenüber 2023, dennoch blieben Hackerangriffe die Hauptursache für finanzielle Verluste.

Von den insgesamt 1,49 Milliarden Dollar Verlust wurden 1,47 Milliarden Dollar – 98,1 % – auf Hackerangriffe zurückgeführt, wobei 192 dokumentierte Vorfälle vorliegen.

Betrug, einschließlich Rug Pulls und Exit-Scams, machte 28 Millionen Dollar aus, was nur 1,9 % der Gesamtverluste entspricht.

Die Zahl der Betrugsfälle stieg jedoch im Jahresvergleich um 72 %, was die zunehmende Raffinesse der Cyberkriminalität widerspiegelt.

Obwohl der Rückgang der Gesamtverluste auf verbesserte Sicherheitsmaßnahmen hindeutet, bleibt die Zahl der Angriffe hoch.

Im Jahr 2023 wurden 320 Hackerangriffe gemeldet, verglichen mit 232 im Jahr 2024 – ein Rückgang von 27,5 %.

Cybersicherheitsexperten warnen davor, dass trotz der Fortschritte Plattformen wie GitHub weiterhin ausgenutzt werden und gezieltere Sicherheitsstrategien zur Risikominderung notwendig sind.

Da Cyberkriminelle ihre Methoden verfeinern, müssen Organisationen und Entwickler beim Herunterladen von Software von Open-Source-Plattformen Vorsicht walten lassen.

Der Anstieg von KI-generierten gefälschten Repositorien in Verbindung mit der anhaltenden Bedrohung durch kryptobezogene Cyberangriffe unterstreicht die Notwendigkeit verbesserter Verifizierungsmethoden, um großflächige finanzielle Verluste zu verhindern.