GitHub-Anschlag: 292 gefälschte Repos verteilen BoryptGrab-Stealer
Veröffentlicht: 15.07.2026 um 22:16 Uhr, Redaktion boerse-global.de
Fast 300 betrügerische Repositories verteilen einen neuartigen Credential-Stealer namens BoryptGrab. Die Angreifer tarnen sich als bekannte Marken und zielen auf Entwickler und Sicherheitsexperten ab.
Die Aktivitäten begannen laut Erkenntnissen der Sicherheitsfirma Arctic Wolf Ende Juni 2026. Ein finanziell motivierter Täter imitierte hunderte legitime Marken aus den Bereichen Software, Sicherheitstools, Fintech und Kryptowährungen. Insgesamt 292 gefälschte Repositories wurden identifiziert. GitHub hat zwar viele davon inzwischen entfernt, doch mehrere Umleitungsseiten waren Mitte Juli noch aktiv.
DLL-Side-Loading als Einfallstor
Die Angreifer setzen auf eine Methode namens DLL-Side-Loading. Nutzer werden über einen versteckten Link in der README-Datei eines Repos dazu gebracht, ein ZIP-Archiv herunterzuladen. Diese Archive sind dynamisch gestaltet – Payload und Dateinamen ändern sich Berichten zufolge minütlich, um statische Erkennung zu umgehen.
Im Archiv befindet sich eine legitime ausführbare Datei, etwa der WinGUP-Updater, sowie eine manipulierte Version der Bibliotheksdatei libcurl.dll. Wenn die legitime Anwendung startet, lädt sie unwissentlich die schädliche DLL in den Arbeitsspeicher. Der Schädling BoryptGrab hinterlässt dabei keine dauerhaften Spuren im System – wohl aber forensische Artefakte, die Sicherheitsteams identifizieren können.
Moderne Sicherheitsmechanismen ausgehebelt
Besonders perfide: Der Infostealer umgeht moderne Schutzmaßnahmen wie Chromes App-Bound-Encryption. Mittels Code-Injection greift die Malware auf verschlüsselte Browserdaten zu, die eigentlich vom Betriebssystem geschützt werden.
Der Fall BoryptGrab zeigt eindringlich, dass herkömmliche Schutzmaßnahmen oft nicht mehr ausreichen, um sensible Unternehmensdaten vor modernen Angriffen zu schützen. In diesem kostenlosen E-Book erfahren Sie, wie Sie aktuelle Sicherheitslücken schließen und Ihre IT-Infrastruktur proaktiv gegen neue Bedrohungen absichern. Gratis-E-Book: Cyber-Security-Strategien für Unternehmen jetzt herunterladen
Umfassende Datensammlung
BoryptGrab ist auf maximale Ausbeute ausgelegt. Die Forschung zeigt: Das Tool erbeutet Daten aus mehr als 19 verschiedenen Webbrowsern und 32 unterschiedlichen Kryptowährungs-Wallets. Neben Browser-Passwörtern und Cookies sammelt es:
- Nachrichtenverläufe von Telegram und Discord
- Zugangsdaten von Spieleplattformen wie Steam
- Inhalte des Windows Credential Manager
- Systemdateien mit bestimmten Schlüsselwörtern oder Cloud-Zugangsdaten
Die gestohlenen Daten landen auf einem Kommando-und-Kontroll-Server in Russland (IP-Adresse: 193.143.1.131). Die Täter sprechen vermutlich Russisch und handeln aus rein finanziellen Motiven.
Da Hacker gezielt psychologische Schwachstellen und technische Hintertüren nutzen, um an Zugangsdaten zu gelangen, ist eine fundierte Prävention für jedes Unternehmen unerlässlich. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie sich effektiv gegen moderne Cyberkriminalität und raffinierte Diebstahlmethoden schützen. Anti-Phishing-Paket für Unternehmen kostenlos sichern
Gefahr für das gesamte GitHub-Ökosystem
Der Fund reiht sich ein in eine Serie von Sicherheitsvorfällen auf der Plattform. Erst Ende März war die Checkmarx KICS GitHub Action kompromittiert worden. Damals gelangte schädlicher Code in Setup-Skripte, um Cloud-Zugangsdaten zu stehlen.
Sicherheitsexperten raten dringend, Software nur aus verifizierten Quellen zu beziehen. Arctic Wolf hat Yara-Regeln und Indikatoren für Kompromittierung veröffentlicht, um Unternehmen bei der Erkennung zu helfen. Wer mit den betrügerischen Repositories in Kontakt gekommen sein könnte, sollte sämtliche sensiblen Zugangsdaten zurücksetzen und Konten auf ungewöhnliche Aktivitäten überwachen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
