GitHub-Angriffe, Repos

GitHub-Angriffe: 292 gefälschte Repos verbreiten BoryptGrab-Malware

Veröffentlicht: 15.07.2026 um 01:08 Uhr, Redaktion boerse-global.de

Sicherheitsforscher decken großangelegte Malware-Kampagne auf GitHub auf. Fast 300 gefälschte Repositories verbreiten den BoryptGrab-Infostealer.

GitHub-Kampagne: 300 Fake-Repos verbreiten BoryptGrab-Infostealer
Ein Hacker tippt auf einer Tastatur, mit Code-Reflexionen auf dem Bildschirm, in einem dunklen Serverraum mit blauen Lichtlinien. Illustration mit AI erstellt übermittelt durch boerse-global.de

Fast 300 gefälschte Repositories verbreiten Schadsoftware – getarnt als bekannte Marken.

Die Angreifer imitieren etablierte Softwarenamen, um User zur Installation des „BoryptGrab-Infostealers“ zu verleiten. Das berichten die Analysten von Arctic Wolf Labs Anfang dieser Woche. Die Kampagne lässt sich bis Ende Juni zurückverfolgen.

Einheitliche Landing-Pages täuschen Legitimität vor

Die insgesamt 292 manipulierten GitHub-Verzeichnisse nutzen identische Vorlagen für ihre Landing-Pages. Unter den imitierten Marken: das Sicherheitsunternehmen Arctic Wolf selbst.

Der BoryptGrab-Infostealer ist hochspezialisiert. Er extrahiert sensible Daten aus 19 verschiedenen Browsern, 32 Krypto-Wallets sowie Messaging-Diensten wie Telegram und Discord. Auch Steam-Zugangsdaten sind im Visier.

Technisch setzen die Angreifer auf DLL-Side-Loading. Ein legitimer Updater führt eine manipulierte libcurl.dll aus. Die Steuerungsserver (C2) laufen in Russland.

Anzeige

Der im Artikel beschriebene Infostealer zeigt, wie leicht Kriminelle Passwörter aus Browsern und Messaging-Diensten extrahieren können. Erfahren Sie in diesem kostenlosen Guide, wie Sie mit einem professionellen Passwort-Manager die volle Kontrolle über Ihre digitalen Zugänge zurückgewinnen. KeePassXC-Anleitung für Einsteiger jetzt gratis anfordern

GitHub hat die meisten betroffenen Repos bereits entfernt. Dutzende Redirector-Seiten bleiben jedoch aktiv.

Lieferketten-Angriffe auf AsyncAPI und Jscrambler

Am 14. Juli traf es das Open-Source-Projekt AsyncAPI. Angreifer nutzten eine Schwachstelle in GitHub Actions aus und stahlen ein Authentifizierungs-Token. Damit veröffentlichten sie fünf bösartige npm-Pakete – mit zusammen rund 2,9 Millionen wöchentlichen Downloads.

Die Schadlast installiert ein persistentes Backdoor-System. Forscher identifizierten sie als Version 6.4 des M-RED-TEAM-Implantats, das über das dezentrale IPFS-Netzwerk nachgeladen wird.

Bereits am 11. Juli schlugen Angreifer bei Jscrambler zu. Kompromittierte Zugangsdaten infizierten mehrere npm-Pakete mit einem Rust-basierten Infostealer. Die bösartigen Versionen wurden knapp 1.500 Mal heruntergeladen, bevor das Unternehmen mit Version 8.22 reagierte. Die Malware zielt auf KI-Tool-Anmeldedaten, Browser-Daten und Betriebssystem-Schlüsselbunde.

Koreanische Polizei ermittelt nach GitHub-Leck

Die Häufung der Vorfälle hat Behörden auf den Plan gerufen. Die nationale Ermittlungsbehörde der koreanischen Polizei leitete am 14. Juli Untersuchungen zu einem Leck von GitHub-Zugangsdaten ein. Gestohlene Personal Access Tokens (PAT) könnten Angreifern Zugriff auf private Repositories verschafft haben. GitHub widerrief betroffene Tokens und informierte die Nutzer.

Anzeige

Da Hacker zunehmend auf das Abgreifen klassischer Zugangsdaten setzen, empfehlen Experten den Wechsel auf moderne Sicherheitsstandards. Dieser kostenlose Report erklärt, wie Sie mit Passkeys Phishing und Datenklau verhindern und Ihre Konten ohne herkömmliche Passwörter schützen. Gratis-Report: Passwortlos und sicher mit Passkeys

Die aktuellen Angriffe reihen sich in eine Serie ein, die seit dem Frühjahr läuft. Sicherheitsforscher von JFrog und Rescana entdeckten 148 npm-Pakete, getarnt als harmlose Studenten-Proxys. Tatsächlich verwandelten sie Browser in ein DDoS-Botnet. Im Mai tauchte zudem „CrashStealer“ auf – eine Malware, die sich als Kollaborations-App tarnte und macOS-Systeme angriff.

Sicherheitsexperten raten zu Multi-Faktor-Authentifizierung und regelmäßigen Checks der Entwickler-PCs. Zugangsdaten gehören nicht in den Quellcode.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69769404 |