GitHub-Betrugsuntersuchung: Tausende „Mods“ und „Cracks“ stehlen Daten

 (timsh.org)
1 Punkte von GN⁺ 2025-03-01 | 1 Kommentare | Auf WhatsApp teilen
  • Auf GitHub existieren zahlreiche als „mods“ oder „cracks“ getarnte Repositories, bei denen es sich um Betrug handelt, der nach dem Download sensible Informationen vom Computer des Nutzers stiehlt
  • Unter Nutzung der Namen beliebter Programme und Spiele wie Roblox, Fortnite, FL Studio und Adobe Photoshop werden sie als „kostenloser Download“ oder „Crack-Version“ beworben
  • Wird diese schädliche Datei ausgeführt, wird informationssammelnde Malware wie Redox Stealer aktiv
  • Die gestohlenen Daten werden an Discord-Server oder File-Sharing-Seiten wie Anonfiles gesendet, um Krypto-Wallets oder Social-Media-Konten zu stehlen
  • Solche Repositories lassen sich auch über die GitHub-Suche leicht finden; das tatsächliche Ausmaß wird auf mindestens tausend geschätzt
  • Es gibt zwar öffentliche GitHub-Issues mit Warnungen wie „Virus“ oder „Malware“, aber das betrifft nur etwa 10 % des Ganzen, sodass viele Nutzer weiter einem Risiko ausgesetzt sind

TL;DR

  • Ablauf der Entdeckung
    • In einem Forum zum Thema Social Engineering wurde eine konkrete Anleitung entdeckt, wie sich massenhaft schädliche Repositories auf GitHub verbreiten lassen
    • Auf Grundlage dieser Anleitung wurden sogar von den Angreifern selbst erstellte Repositories zurückverfolgt
  • Ausmaß
    • Es wurden mehr als 1.115 Repositories gefunden; davon wirken mindestens 351 aufgrund ihrer Struktur verdächtig und mit hoher Wahrscheinlichkeit bösartig
    • Weniger als 10 % der Repositories wurden über ein „Issue“ gewarnt, die meisten wirken nach außen unauffällig
  • Merkmale der Malware
    • Sie scheint zur Redox-Stealer-Familie zu gehören und stiehlt über Discord-Webhooks verschiedenste sensible Daten vom Computer des Opfers, darunter Cookies, Passwörter, Krypto-Wallets und Spielkonten
    • Nach der Übertragung als Archivdatei über Sharing-Seiten (z. B. Anonfiles) werden per Webhook Folge-Links versendet, die dann analysiert und gehandelt werden

Some background

  • Werbung für Telegram-Bots
    • Der Autor entdeckte in einer Nachricht eines früher genutzten TikTok-Analyse-Bots Werbung für das Forum
    • Für das betreffende Forum sind weder eine gesonderte Einladung noch Tor-Zugriff nötig; nach Registrierung mit E-Mail und Passwort können illegale Handelsangebote und Anleitungen eingesehen werden
  • Besonderheiten des Forums
    • Von Account-Handel (z. B. TikTok, Instagram, Facebook Ads) bis zu Materialien zu betrügerischen „affiliate“-Programmen wird dort frei geteilt
    • Es gibt dort bereits viele bekannte Betrugsmodelle wie ransomware as a service(RaaS) oder CryptoGrab, doch die Anleitung zur Malware-Verbreitung über GitHub ist neu und schockierend
  • Redox Stealer
    • Es handelt sich um Malware, die unter anderem über Telegram verbreitet wird, und sie ist ein vergleichsweise einfaches Python-Skript
    • Sie ist so aufgebaut, dass sie praktisch alle auf einem PC auffindbaren sensiblen Informationen massenhaft sammelt und an einen Discord-Server sendet

Wie man GitHub [mit Traffic] flutet: von A bis Z

  • Massive Beschaffung von GitHub-Konten
    • Konten werden für etwa 1,5 Dollar gekauft oder in großer Zahl selbst erstellt und für Angriffe genutzt
  • Art des Uploads schädlicher Dateien
    • Dateien werden als .zip, .rar usw. gebündelt auf GitHub hochgeladen oder externe Sharing-Links im README hinterlegt, um Virenscans zu umgehen
  • README-Vorlagen
    • Echte Screenshots, Videos und (gefälschte) virustotal-Prüfergebnisse werden beigefügt, um Vertrauen zu schaffen
    • Mit ChatGPT und Ähnlichem wird der README-Text leicht verändert, um doppelte Erkennung zu vermeiden
  • Nutzung von Topics-Tags
    • Über die GitHub-topic-Funktion werden Schlüsselwörter wie Spielnamen, crack, hack und cheat wiederholt eingetragen
    • Dadurch werden die Repositories für Menschen leichter auffindbar, die in Suchmaschinen nach „kostenlosen Cracks“ usw. suchen
    • Die Anleitung erklärt auch, wie sich vermeiden lässt, dass ein Thema als banned topic erkannt wird

Analyse von Redox Stealer

  • Dateiausführung
    • Wenn ein Nutzer das Repository herunterlädt und das schädliche Skript ausführt, beginnt die Sammlung interner PC-Daten
    • Gestohlen werden unter anderem ip, geolocation, Benutzername, Browser-Cookies, Passwörter, Discord-, Telegram-, Steam- und Riot-Games-Konten sowie Dateien von Krypto-Wallets
  • Erfassungsmethode
    • Die Malware kopiert temporär sqlite-DB-Dateien, um Browser-Cookies, Passwörter und Discord-Tokens zu extrahieren
    • Dateien von Krypto-Erweiterungen wie Metamask und Exodus sowie Informationen zu Spielkonten wie Steam und Riot Games werden separat komprimiert und hochgeladen
  • Datenübertragung
    • Die gestohlenen Dateien werden auf Sharing-Dienste wie Anonfiles hochgeladen, und die Links oder Informationen werden den Angreifern über Discord-Webhooks übermittelt
    • Das Endziel besteht darin, verkaufbare Konten (z. B. Krypto- oder Spiel-Items) oder Finanzdaten (Kreditkarte, PayPal usw.) zu stehlen

Suche und Funde auf GitHub

  • Schätzung des Ausmaßes
    • Laut Anleitung kann schon eine einzelne Person mit 300 bis 500 Repositories pro Tag 50 bis 100 oder mehr Opfer-Logs erzeugen
    • Tatsächlich ist es sehr wahrscheinlich, dass mehrere Personen dieses Schema gleichzeitig betreiben, sodass weit mehr schädliche Repositories existieren
  • PoC(Proof of Concept)-Skript
    • Der Autor kombinierte die in der Anleitung genannten Schlüsselwörter (z. B. „fortnite hack“, „roblox cheat“) und crawlt mithilfe der GitHub Search API automatisch Repositories
    • Bei der Prüfung von rund 2.100 Topic-Schlüsselwörtern wurden 1.155 Repositories gefunden
    • Davon wurden 351 anhand von README und .rar/.zip-Dateistruktur als mit hoher Wahrscheinlichkeit bösartig eingestuft
  • Probleme
    • Nur bei weniger als 10 % der Repositories ist per Issue vermerkt, dass sie schädlich sind; die Nutzerwarnung ist also unzureichend
    • Viele Nutzer laufen Gefahr, sie mit legitimer Software zu verwechseln und auszuführen

Conclusion

  • Illegale Informationen im Netz
    • Es gibt Foren, die im normalen Web leicht erreichbar sind, ganz ohne Tor oder gesonderte Einladung
    • Dort werden verschiedenste Betrugsmodelle wie Ransomware oder Crypto Drainer aktiv geteilt
  • Die Einfachheit von Redox Stealer
    • Schon mit einigen hundert bis tausend Zeilen Python-Code werden umfangreiche Informationen automatisch gesammelt und an Angreifer gesendet
    • Die technische Hürde ist nicht hoch, was die massenhafte Verbreitung erleichtert
  • Notwendige Reaktion von GitHub
    • Selbst Repositories, bei denen ihre Schädlichkeit per Issue offengelegt wurde, bleiben oft unverändert online
    • Aktiveres Monitoring und Sperren durch GitHub würden die Schäden voraussichtlich verringern
  • Abschluss
    • Wer Spiel- oder Programm-Cracks herunterladen will, muss Open Source, Virenprüfung und Herkunft besonders sorgfältig kontrollieren
    • Der Autor kündigt weitere Analysen zu Scam-/Betrugswerbung an

Zusammenfassung

  • Malware-Verbreitung über GitHub läuft bereits: Meist werden die Bezeichnungen „kostenlos“, „crack“ oder „mod“ verwendet, tatsächlich enthalten sie Redox Stealer
    • Redox Stealer ist so einfach und unkompliziert, dass ihn praktisch jeder in großem Maßstab verbreiten kann
  • Wichtigste Schadensziele: Krypto-Wallets, Steam-/Riot-Games-Konten, PayPal, Facebook, Twitter und viele weitere Kontoinformationen
  • Schutzmaßnahmen
    • Nur aus vertrauenswürdigen Quellen herunterladen
    • Verdächtige Links oder README-Dateien genau prüfen
    • GitHub Issues, Sterne oder Bewertungen bzw. andere Nutzerrezensionen überprüfen
    • Antivirus und aktuelle Sicherheits-Patches beibehalten
  • Ausbreitung forumgestützter Scams
    • Aufgrund der niedrigen Einstiegshürde kann praktisch jeder nach Beschaffung der Anleitung schädliche Skripte verbreiten
    • Die Verbreitung erfolgt etwa so, dass ein Angreifer mehrere Konten aufkauft und Hunderte von Repositories hochlädt
  • Verantwortung von GitHub und der Security-Community
    • Es braucht stärkere Systeme zur Identifizierung und Sperrung schädlicher Repositories
    • Eine höhere Wachsamkeit normaler Nutzer ist unverzichtbar
  • GitHub-Repositories, die „Cracks“ oder „mods“ kostenlos anbieten, sollten grundsätzlich misstrauisch betrachtet werden
  • In der Tabelle (siehe Link) befindet sich eine vom Autor gesammelte Liste mit mehr als 1.000 verdächtigen Repositories
  • Sämtliche Malware ist auf ein einziges Ziel ausgerichtet: finanziellen Gewinn, mit schneller und großflächiger Verbreitung als Kennzeichen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-03-01
Hacker-News-Kommentare

  • Microsoft hat allgemein ein Problem damit, Unnötiges aus seinem Ökosystem zu entfernen

    • Das Portal feedback.azure.com ist voller Spam- und Malware-Kommentare sowie Links
    • Selbst interne Teams können niemanden finden, der das behebt

  • Benachrichtigung über neu kompromittierte Systeme per Discord-Webhook

    • Discord reagiert schnell auf Meldungen über Missbrauch
    • Mit einem einfachen Skript könnte man Webhook-Links extrahieren und die Accounts sperren lassen
    • Nach früheren Erfahrungen war Discord aktiv dabei, Accounts von Personen zu sperren, die sich an illegalen Zwecken beteiligten

  • Microsoft trägt eine gewisse Mitschuld

    • Windows Defender erzeugt Warnungen wie "Win32/Keygen", auch wenn gar keine echte Malware vorhanden ist
    • Dadurch werden Nutzer darauf trainiert, ihr Antivirenprogramm zu deaktivieren
    • Falschmeldungen führen dazu, dass echte Treffer ignoriert werden, und prägen so den Markt

  • Frage, warum Malware-Repositories gelöscht werden sollten

    • Das Repository selbst richtet keinen Schaden an und hat Wert für die Forschung
    • Selbst wenn GitHub es entfernt, wird es auf anderem Weg verbreitet werden
    • Ein Banner wie "Achtung! Dieses Repository tut möglicherweise nicht das, was es behauptet" wäre angemessener

  • Interessante Tatsache: Wenn man einen Discord-Webhook entdeckt, kann man ihn löschen

    • Verwendung des Befehls curl -X DELETE

  • Der Support von Microsoft ist tragisch schlecht

    • Auf GitHub gibt es zahllose offene Issues, die seit Jahren keine Antwort erhalten haben
    • Auch der technische Support von Azure ist sehr schlecht
    • Online gibt es viele Horrorgeschichten darüber, den Zugang zu einem Account zu verlieren und ihn nicht wiederherstellen zu können

  • Der Kern des Problems ist, dass Anwendungen nicht auf OS-Ebene isoliert sind

    • Auch wenn man einen Minecraft-Mod installiert, sollte er nicht auf andere Dateien auf dem Computer zugreifen können
    • Wenn man in Excel eine Tabelle öffnet, sollte nur Zugriff auf diese Datei und Konfigurationsdateien möglich sein
    • Wie bei Android sollten Apps explizit Dateizugriff anfordern müssen

  • Große Frage zur Wirksamkeit von GitHubs System für Missbrauchsmeldungen

    • Wenn mehr als 1.000 bösartige Repositories monatelang bestehen bleiben können, fehlt es möglicherweise an automatischen Scans oder das System verlässt sich zu stark auf Nutzermeldungen

  • Wurde um Hilfe bei der Installation eines Plants vs. Zombies-Mods gebeten

    • Es wurden mehrere auf GitHub-Repositories herunterladbare Mods gefunden, aber sie wirkten nicht vertrauenswürdig, daher wurden sie nicht heruntergeladen
    • Rückblickend scheint das die Art von Malware gewesen zu sein, die der Autor beschrieben hat

  • Wenn man Malware in einem GitHub-Repository entdeckt, kann man sie direkt über die Abuse-Report-Seite melden

    • GitHub entfernt Repositories, die gegen die Acceptable Use Policy verstoßen
    • Die Reaktionszeit kann variieren
    • Wenn die Malware aktiv eingesetzt wird, kann man auch eine Meldung an eine Sicherheitsorganisation oder ein CERT-Team in Betracht ziehen