Zum Inhalt springen

10.000 manipulierte Repositories auf GitHub verbreiten Krypto-Trojaner

Auf den Punkt: Eine automatisierte Angriffskampagne mit über 10.000 manipulierten GitHub-Repositories nutzt KI-Agenten als primäre Ziele, um mittels des Infostealer StealC Zugangsdaten und Kryptowallet-Daten zu entwenden.

Sicherheitsforscher haben über 10.000 gefälschte Repositories auf GitHub identifiziert, die einen Krypto-Trojaner mit dem Infostealer StealC verbreiten. Die Attacke zielt gezielt auf automatisierte KI-Agenten ab, die Abhängigkeiten oft ohne Validierung herunterladen.

Der Softwareentwickler Orchid hat eine großflächige Angriffskampagne auf GitHub dokumentiert, bei der Angreifer gezielt neue Repositories klonen, Schadcode einfügen und die Suchergebnisse bei Google und Bing manipulieren, um die Fälschungen über den Originalen zu platzieren. Bislang wurden etwa 10.000 solcher präparierten Repositories nachgewiesen. Die gefälschten Projekte werden alle paar Stunden aktualisiert, um automatische Erkennungssysteme zu umgehen. Orchid zufolge stammen die Repositories von verschiedenen Konten, tragen unterschiedliche Namen und sind keine Forks, teilen aber ein identifizierbares Muster, das eine automatisierte Identifikation möglich machte.

Sicherheitsanalysten vermuten, dass die Kampagne primär auf autonome KI-Agenten abzielt, da automatisierte Systeme bei der Abhängigkeitsauflösung Codekomponenten häufig ohne Überprüfung herunterladen, während menschliche Entwickler böswillige ausführbare Dateien aus fragwürdigen Quellen seltener ausführen. Die Infektionskette folgt einem standardisierten Muster: Über README-Dokumente werden Nutzer zum Download eines präparierten ZIP-Archivs geleitet, das eine ausführbare Datei, ein Windows-Befehlsskript, eine Textdatei und eine Lua-Bibliothek enthält. Nach dem Entpacken startet ein LuaJIT-Interpreter, der Debugging-Tools umgeht und die Adresse des Kontrollservers über einen Smart Contract auf der Polygon-Blockchain ermittelt. Daraufhin wird der Infostealer StealC nachgeladen, der Passwörter, Krypto-Wallets, Kreditkartendaten, Browserverläufe und Zugangsdaten zu Plattformen wie Discord und Steam stiehlt.

Die Sicherheitsfirma HexaStrike analysierte die Schadsoftware und stellte fest, dass eine Überprüfung der Download-Links bei VirusTotal oft fehlschlägt, da erst das physische ZIP-Archiv als malös erkannt wird. GitHub begann mit der Entfernung der Repositories nach Orchids Veröffentlichung einer Liste von 9.330 schädlichen Instanzen. Orchid kritisierte jedoch, dass die automatischen Erkennungssysteme der Plattform versagen und einige bösartige Klone über ein Jahr online waren, während manuelle Meldungen in der Vergangenheit oft mehrere Wochen bis zur Löschung dauerten. Die Sicherheitsanalysten von HexaStrike deuten darauf hin, dass die übereinstimmende Infrastruktur und synchronisierten Aktualisierungen auf einen einzelnen Akteur oder eine eng koordinierte Gruppe hindeuten.


Quelle: www.it-daily.net · Erschienen 23. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: