Sicherheitsforscher haben eine GitHub-basierte Malwarekampagne entdeckt, die gefälschte Repositories nutzt, um Schadsoftware zu verbreiten, die Passwörter stiehlt. Die bösartigen Projekte wirken auf den ersten Blick legitim und ermutigen Nutzer, verschiedene Softwaretools oder Entwicklerprogramme herunterzuladen. Nach der Installation beginnt die Malware, sensible Informationen vom System des Opfers zu sammeln.
Die Kampagne zielt auf Browser-Zugangsdaten, Krypto-Wallets und Messaging-Tokens ab. Da die Dateien auf GitHub gehostet werden, gehen viele Nutzer davon aus, dass die Software vertrauenswürdig ist. Forscher warnen jedoch, dass der Angriff zeigt, wie leicht Angreifer populäre Entwicklerplattformen missbrauchen können.
Gefälschte GitHub-Projekte verbreiten Infostealer-Malware
Die GitHub-Kampagne basiert auf Repositories, die echte Softwareprojekte imitieren. Angreifer laden Codepakete hoch, die angeblich nützliche Tools, Automatisierungslösungen oder Skripte für Entwickler anbieten.
Nutzer, die diese Projektdateien herunterladen, erhalten tatsächlich eine ausführbare Datei, die als legitime Software getarnt ist. Sobald die Datei ausgeführt wird, installiert sich die Malware unbemerkt auf dem System.
Der Infostealer beginnt anschließend damit, das Gerät nach sensiblen Daten zu durchsuchen. Dabei sammelt er Browser-Passwörter, Authentifizierungstokens und weitere Informationen, die Angreifer nutzen können, um auf Onlinekonten zuzugreifen.
Da GitHub Millionen legitimer Projekte hostet, vertrauen viele Nutzer Downloads von der Plattform. Dieses Vertrauen erleichtert es Angreifern, Malware zu verbreiten, ohne sofort Verdacht zu erregen.
Browser-Passwörter und Cookies sind zentrale Ziele
Forscher stellten fest, dass sich die Malware besonders auf in Browsern gespeicherte Zugangsdaten konzentriert. Viele Browser speichern Passwörter, Sitzungscookies und Zahlungsinformationen, um Anmeldungen zu erleichtern.
Die Malware durchsucht den Browser-Speicher und extrahiert unter anderem:
- gespeicherte Zugangsdaten
- Sitzungscookies
- Autofill-Daten
- gespeicherte Kreditkarteninformationen
Mehrere Chromium-basierte Browser gehören zum Zielbereich der Kampagne, darunter Chrome, Edge und Brave.
Sitzungscookies stellen ein erhebliches Risiko dar, da sie Angreifern Zugriff auf Konten ermöglichen, ohne dass ein Passwort eingegeben werden muss. Gestohlene Cookies können Authentifizierungssysteme umgehen und sofortigen Zugriff auf Onlinedienste ermöglichen.
Auch Krypto-Wallets und Messaging-Konten im Visier
Die GitHub-Kampagne richtet sich außerdem gegen Nutzer von Kryptowährungen. Die Malware durchsucht infizierte Systeme nach Dateien, die mit verschiedenen Krypto-Wallets verbunden sind.
Wenn Wallet-Daten gefunden werden, versucht die Malware, sensible Informationen zu extrahieren. Angreifer können diese Daten anschließend nutzen, um auf Kryptowährungsbestände zuzugreifen.
Forscher beobachteten zudem Versuche, Authentifizierungstokens von Messaging-Plattformen zu stehlen. Diese Tokens können es Angreifern ermöglichen, Konten zu übernehmen, ohne dass Warnungen über Passwortänderungen ausgelöst werden.
Sobald die Malware aktiv ist, geraten daher auch Kommunikationsplattformen ins Visier.
Angreifer nutzen das Vertrauen in Entwicklerplattformen aus
Die große Beliebtheit von GitHub macht die Plattform zu einem attraktiven Verbreitungskanal für Malware. Entwickler laden häufig Tools und Open-Source-Projekte direkt aus Repositories herunter.
Angreifer nutzen dieses Verhalten aus, indem sie überzeugende Projekte veröffentlichen, die funktional und harmlos erscheinen. Diese Repositories enthalten oft Dokumentation, Quellcode und Projektbeschreibungen, die Vertrauen schaffen.
Nutzer, die die Echtheit eines Projekts nicht überprüfen, können daher unbewusst Malware installieren. Sobald der Infostealer installiert ist, arbeitet er unauffällig im Hintergrund und sammelt sensible Daten.
Fazit
Die GitHub-Kampagne zeigt, wie Angreifer weiterhin vertrauenswürdige Plattformen nutzen, um Infostealer-Malware zu verbreiten. Indem sie schädliche Dateien als legitime Entwicklerwerkzeuge tarnen, können Cyberkriminelle Systeme infizieren und wertvolle Daten sammeln.
Gestohlene Browser-Passwörter, Krypto-Wallets und Messaging-Tokens verschaffen Angreifern Zugang zu finanziellen Konten und Online-Diensten. Die Kampagne verdeutlicht, wie wichtig es ist, Softwarequellen zu überprüfen, bevor Dateien aus Repositories heruntergeladen werden.
Nutzer sollten Projekte sorgfältig prüfen und ausführbare Dateien von unbekannten Entwicklern vermeiden. Diese Vorsichtsmaßnahmen können das Risiko einer Infektion durch bösartige GitHub-Repositories deutlich verringern.
0 Kommentare zu „GitHub-Malwarekampagne stiehlt Browser-Passwörter“