BoryptGrab-Malware nutzt über 100 gefälschte GitHub-Repos

Ein raffinierter Malware-Angriff infiziert Windows-Systeme über manipulierte Software-Downloads auf GitHub. Der Schädling stiehlt sensible Daten und installiert eine gefährliche Hintertür.

Seit mindestens April 2025 läuft eine groß angelegte Cyberkampagne, die sich gezielt an Windows-Nutzer richtet. Im Zentrum steht der neu identifizierte Informationsdieb BoryptGrab, der über ein Netzwerk täuschend echter GitHub-Repos verbreitet wird. Die Angreifer locken Opfer mit vermeintlich kostenloser Software, Gaming-Cheats oder Produktivitätstools. Die Gefahr zeigt, wie Cyberkriminelle zunehmend vertrauenswürdige Plattformen für ihre Zwecke missbrauchen.

Angesichts raffinierter Malware-Kampagnen gegen Windows-Systeme ist ein sicheres und korrekt konfiguriertes Betriebssystem der wichtigste Schutzwall. Dieser Gratis-Report zeigt Ihnen, wie Sie den Umstieg auf ein modernes System stressfrei und ohne Sicherheitsrisiken meistern. Windows 11 Komplettpaket: Jetzt risikofrei und sicher umsteigen

Getarnte Fallen: SEO-optimierte GitHub-Repos

Das Herzstück der Verbreitung sind über 100 öffentliche GitHub-Repositorys, die als seriöse Download-Quellen getarnt sind. Ihre Beschreibungen sind mit Suchmaschinen-optimierten Keywords gefüllt, sodass sie in Suchergebnissen neben offiziellen Seiten erscheinen. Klickt ein Nutzer auf einen Download-Link, wird er über Umleitungen zu einer gefälschten Seite geführt, die eine schädliche ZIP-Datei bereitstellt.

Die Infektionskette startet, sobald das Archiv geöffnet wird. Techniken wie DLL Side-Loading oder ausgeführte VBS/PowerShell-Skripte setzen dann die Malware frei. Die lange Laufzeit der Kampagne – erste Repos waren bereits 2025 aktiv – deutet auf einen gut organisierten Akteur hin. Russischsprachige Kommentare im Code und russische IP-Adressen legen einen möglichen Ursprung der Angreifer nahe.

Was BoryptGrab stiehlt: Passwörter, Kryptowährungen, mehr

Einmal ausgeführt, beginnt der in C/C++ geschriebene Schädling mit der systematischen Datenernte. Zunächst prüft er, ob er in einer virtuellen Maschine oder Sandbox läuft, um der Analyse zu entgehen. Sein Hauptziel sind Webbrowser. Er extrahiert gespeicherte Login-Daten, Cookies, Autofill-Informationen und den Browserverlauf aus Chrome, Edge, Firefox, Opera und Brave.

Doch BoryptGrab begnügt sich nicht damit. Er durchsucht das System auch nach Desktop-Wallets für Kryptowährungen wie Exodus, Electrum oder Ledger Live sowie nach relevanten Browser-Erweiterungen. Zudem macht er Screenshots, sammelt Systeminformationen und durchsucht den Rechner nach gängigen Dateitypen. Neuere Varianten erbeuten sogar Zugangstokens von Telegram und Discord. Alle gestohlenen Daten werden komprimiert und an Server der Angreifer gesendet.

Die gefährliche Zweitinfektion: Die TunnesshClient-Hintertür

In einigen Angriffsvarianten lädt BoryptGrab eine zweite schädliche Komponente nach: die Backdoor TunnesshClient. Diese als PyInstaller-Executable getarnte Software baut einen umgekehrten SSH-Tunnel zum Server der Angreifer auf. Diese dauerhafte Verbindung verschafft den Cyberkriminellen Fernzugriff auf den kompromittierten Rechner.

Da Angreifer immer häufiger sensible Zugangsdaten und Krypto-Wallets direkt vom PC entwenden, wird die proaktive Stärkung der IT-Sicherheit zur Pflichtaufgabe für jedes Unternehmen. Erfahren Sie in diesem Experten-Report, mit welchen Strategien Sie sich effektiv gegen Cyberkriminelle wappnen, ohne Ihr Budget zu sprengen. Kostenlosen Cyber-Security-Leitfaden für Unternehmen anfordern

Über diese Hintertür können sie beliebige Befehle ausführen, Dateien durchsuchen und übertragen oder das Opfersystem als SOCKS5-Proxy für ihren eigenen schädlichen Datenverkehr missbrauchen. Die Installation von TunnesshClient erhöht die Bedrohung erheblich. Aus einem Datendiebstahl wird so eine langfristige Kompromittierung, die es Angreifern ermöglicht, sich in Firmennetzwerken seitlich zu bewegen und weitere Schadsoftware zu installieren.

Schutzmaßnahmen: Skepsis und technische Vorsorge

Diese Kampagne ist Teil eines Trends: Kriminelle nutzen die Reputation von Plattformen wie GitHub aus, um Malware zu hosten. Die Kombination aus SEO-Vergiftung und mehrstufigem Infektionsprozess ist besonders tückisch.

Experten raten Nutzern zu größter Vorsicht:
* Laden Sie Software ausschließlich von offiziellen Quellen oder verifizierten Entwicklern herunter.
* Seien Sie extrem skeptisch gegenüber kostenlosen Tools, Cracks oder Cheats aus unbekannten Repositories.
* Unternehmen sollten umfassende Endpoint-Security-Lösungen einsetzen, Software stets aktuell halten und das Netzwerk auf verdächtigen ausgehenden Datenverkehr überwachen.
* Ein Warnzeichen können auch unerwartete geplante Aufgaben (Scheduled Tasks) oder Änderungen an den Windows Defender-Ausschlüssen sein.

Die BoryptGrab-Kampagne ist aktiv und entwickelt sich weiter. Die Betreiber haben ihre Methoden bereits mehrfach angepasst. Während Plattformen wie GitHub schädliche Repos löschen, sobald sie identifiziert werden, bleibt die grundsätzliche Strategie bestehen. Für Nutzer gilt: Die Quelle jedes Downloads kritisch zu prüfen, ist der beste Schutz gegen diese immer raffinierteren digitalen Diebe.

boerse | 68689981 |