{"id":31976,"date":"2025-02-28T14:05:08","date_gmt":"2025-02-28T12:05:08","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31976"},"modified":"2025-02-28T14:05:08","modified_gmt":"2025-02-28T12:05:08","slug":"malicious-code-in-github","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/malicious-code-in-github\/31976\/","title":{"rendered":"Malware auf GitHub: Hacker greifen Programmierer an"},"content":{"rendered":"

Nehmen wir an, du willst irgendwo hinfahren. Problem: Du musst erst einmal das Rad neu erfinden und dann an ein neues Fahrrad basteln \u2013 und das nicht nur einmal, sondern jedes Mal von Neuem. Kannst du dir so eine Welt vorstellen? Wir k\u00f6nnen es auch nicht. Warum sollte man etwas neu erfinden, das es schon gibt und das wunderbar funktioniert? Dasselbe gilt auch f\u00fcr das Programmieren: Entwickler m\u00fcssen tagt\u00e4glich unz\u00e4hlige Routineaufgaben l\u00f6sen. Dabei k\u00f6nnen sie nicht st\u00e4ndig das Rad neu erfinden und ein neues Fahrrad zusammenzuschrauben (von Qualit\u00e4tsanforderungen ganz zu schweigen). Deshalb verlassen sie sich auf die Open-Source-Repositorys von GitHub und greifen auf vorgefertigten Code f\u00fcr Fahrr\u00e4der<\/span> zur\u00fcck.<\/p>\n

Diese praktische M\u00f6glichkeit steht absolut allen offen. Auch Kriminellen, die den weltweit besten kostenlosen Open-Source-Code<\/em> nun wohl als K\u00f6der f\u00fcr ihre Angriffe entdeckt haben. Diese Vermutung wird durch zahlreiche Beweise untermauert. Ein aktuelles Beispiel: Unsere Experten haben die aktive Malware-Kampagne \u201eGitVenom\u201c aufgedeckt, die GitHub-Nutzer zum Ziel hat.<\/p>\n

Was ist GitVenom?<\/strong><\/h2>\n

GitVenom ist eine b\u00f6sartige Kampagne. Unbekannte Akteure haben \u00fcber 200 Repositorys mit gef\u00e4lschten Projekten und Schadcode erstellt: Telegram-Bots, Tools zum Hacken des Spiels Valorant, Instagram-Automatisierungstools und Bitcoin-Wallet-Manager. Auf den ersten Blick sehen diese Repositorys v\u00f6llig legitim aus. Bemerkenswert ist die professionell gestaltete Datei README.MD. Sie enth\u00e4lt eine Anleitung zur Verwendung des Codes mit detaillierten Anweisungen in mehreren Sprachen. Au\u00dferdem haben die Angreifer ihre Repositorys mit zahlreichen Tags versehen.<\/p>\n

\"Die<\/a>

Die Angreifer haben mithilfe von KI ausf\u00fchrliche Anweisungen in mehreren Sprachen verfasst<\/p><\/div>\n

<\/div>\n

Die scheinbare Legitimit\u00e4t dieser Repositorys wird auch durch die hohe Anzahl von Commits bekr\u00e4ftigt. Solche \u00c4nderungsvermerke sind tonnenweise in den gef\u00e4lschten Repositorys enthalten. Die Angreifer waren wirklich um Authentizit\u00e4t bem\u00fcht. Nat\u00fcrlich wurde dazu nicht jedes einzelne der 200 Repositorys von Hand aktualisiert. Die Kriminellen nutzten Zeitstempeldateien, die alle paar Minuten aktualisiert wurden. Eine Kombination aus ausf\u00fchrlicher Dokumentation und zahlreichen Commits erweckt den Eindruck, der Code sei echt und sicher.<\/p>\n

GitVenom: seit zwei Jahren aktiv<\/strong><\/h2>\n

Die Kampagne begann schon vor einiger Zeit: Das \u00e4lteste gef\u00e4lschte Repository, das wir aufgesp\u00fcrt haben, ist etwa zwei Jahre alt. In der Zwischenzeit sind Entwickler aus Russland, Brasilien, der T\u00fcrkei und anderen L\u00e4ndern auf GitVenom hereingefallen. Die Angreifer deckten ein breites Spektrum an Programmiersprachen ab: Schadcode gab es in Repositorys f\u00fcr Python, JavaScript, C, C# und C++.<\/p>\n

Ganz anders steht es um die Funktionalit\u00e4t der Projekte. Die in der README-Datei beschriebenen Funktionen stimmen \u00fcberhaupt nicht mit dem tats\u00e4chlichen Code \u00fcberein. In Wirklichkeit kann der Code nur einen Bruchteil dessen, was versprochen wird. Trotzdem laden die Opfer \u201edank\u201c dieser Software sch\u00e4dliche Komponenten herunter. Hier einige Beispiele:<\/p>\n