GitHub-Anschlag, Repos

GitHub-Anschlag: 292 gefälschte Repos verteilen BoryptGrab-Stealer

Veröffentlicht: 15.07.2026 um 22:16 Uhr, Redaktion boerse-global.de

Sicherheitsforscher decken großangelegte Malware-Kampagne auf GitHub auf. Der neue Infostealer BoryptGrab zielt auf Entwickler und Krypto-Wallets.

GitHub-Kampagne: 292 Fake-Repos verbreiten BoryptGrab-Stealer
Person in Kapuzenjacke tippt auf Laptop, mit abstrakten digitalen Codes und Sicherheitssymbolen als Cyberbedrohung. Illustration mit AI erstellt übermittelt durch boerse-global.de

Fast 300 betrügerische Repositories verteilen einen neuartigen Credential-Stealer namens BoryptGrab. Die Angreifer tarnen sich als bekannte Marken und zielen auf Entwickler und Sicherheitsexperten ab.

Die Aktivitäten begannen laut Erkenntnissen der Sicherheitsfirma Arctic Wolf Ende Juni 2026. Ein finanziell motivierter Täter imitierte hunderte legitime Marken aus den Bereichen Software, Sicherheitstools, Fintech und Kryptowährungen. Insgesamt 292 gefälschte Repositories wurden identifiziert. GitHub hat zwar viele davon inzwischen entfernt, doch mehrere Umleitungsseiten waren Mitte Juli noch aktiv.

DLL-Side-Loading als Einfallstor

Die Angreifer setzen auf eine Methode namens DLL-Side-Loading. Nutzer werden über einen versteckten Link in der README-Datei eines Repos dazu gebracht, ein ZIP-Archiv herunterzuladen. Diese Archive sind dynamisch gestaltet – Payload und Dateinamen ändern sich Berichten zufolge minütlich, um statische Erkennung zu umgehen.

Im Archiv befindet sich eine legitime ausführbare Datei, etwa der WinGUP-Updater, sowie eine manipulierte Version der Bibliotheksdatei libcurl.dll. Wenn die legitime Anwendung startet, lädt sie unwissentlich die schädliche DLL in den Arbeitsspeicher. Der Schädling BoryptGrab hinterlässt dabei keine dauerhaften Spuren im System – wohl aber forensische Artefakte, die Sicherheitsteams identifizieren können.

Moderne Sicherheitsmechanismen ausgehebelt

Besonders perfide: Der Infostealer umgeht moderne Schutzmaßnahmen wie Chromes App-Bound-Encryption. Mittels Code-Injection greift die Malware auf verschlüsselte Browserdaten zu, die eigentlich vom Betriebssystem geschützt werden.

Anzeige

Der Fall BoryptGrab zeigt eindringlich, dass herkömmliche Schutzmaßnahmen oft nicht mehr ausreichen, um sensible Unternehmensdaten vor modernen Angriffen zu schützen. In diesem kostenlosen E-Book erfahren Sie, wie Sie aktuelle Sicherheitslücken schließen und Ihre IT-Infrastruktur proaktiv gegen neue Bedrohungen absichern. Gratis-E-Book: Cyber-Security-Strategien für Unternehmen jetzt herunterladen

Umfassende Datensammlung

BoryptGrab ist auf maximale Ausbeute ausgelegt. Die Forschung zeigt: Das Tool erbeutet Daten aus mehr als 19 verschiedenen Webbrowsern und 32 unterschiedlichen Kryptowährungs-Wallets. Neben Browser-Passwörtern und Cookies sammelt es:

  • Nachrichtenverläufe von Telegram und Discord
  • Zugangsdaten von Spieleplattformen wie Steam
  • Inhalte des Windows Credential Manager
  • Systemdateien mit bestimmten Schlüsselwörtern oder Cloud-Zugangsdaten

Die gestohlenen Daten landen auf einem Kommando-und-Kontroll-Server in Russland (IP-Adresse: 193.143.1.131). Die Täter sprechen vermutlich Russisch und handeln aus rein finanziellen Motiven.

Anzeige

Da Hacker gezielt psychologische Schwachstellen und technische Hintertüren nutzen, um an Zugangsdaten zu gelangen, ist eine fundierte Prävention für jedes Unternehmen unerlässlich. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie sich effektiv gegen moderne Cyberkriminalität und raffinierte Diebstahlmethoden schützen. Anti-Phishing-Paket für Unternehmen kostenlos sichern

Gefahr für das gesamte GitHub-Ökosystem

Der Fund reiht sich ein in eine Serie von Sicherheitsvorfällen auf der Plattform. Erst Ende März war die Checkmarx KICS GitHub Action kompromittiert worden. Damals gelangte schädlicher Code in Setup-Skripte, um Cloud-Zugangsdaten zu stehlen.

Sicherheitsexperten raten dringend, Software nur aus verifizierten Quellen zu beziehen. Arctic Wolf hat Yara-Regeln und Indikatoren für Kompromittierung veröffentlicht, um Unternehmen bei der Erkennung zu helfen. Wer mit den betrügerischen Repositories in Kontakt gekommen sein könnte, sollte sämtliche sensiblen Zugangsdaten zurücksetzen und Konten auf ungewöhnliche Aktivitäten überwachen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69775595 |