GitHub-Malware: 10.000 manipulierte Repos über ein Jahr unentdeckt
19.06.2026 - 14:44:40 | boerse-global.de
Rund 10.000 manipulierte Repositories blieben über ein Jahr unentdeckt.
Der als „Orchid Files" bekannte Forscher veröffentlichte seine Erkenntnisse am 18. Juni 2026. Die Täter klonen legitime Projekte inklusive vollständiger Commit-Historie, um vertrauenswürdig zu wirken. Anschließend fügen sie einen Link zu einem ZIP-Archiv ein – gefüllt mit Skripten, ausführbaren Dateien und Lua-Bibliotheken.
Hacker nutzen immer raffiniertere Methoden, um über vermeintlich sichere Kanäle Schadsoftware in Unternehmen einzuschleusen. Dieser kostenlose Report enthüllt die aktuellen psychologischen Tricks der Cyberkriminellen und zeigt, wie Sie Ihr Unternehmen wirksam vor solchen Angriffen schützen. Jetzt kostenloses Anti-Phishing-Paket herunterladen
Tarnung durch ständige Updates
Um GitHub-Sicherheitsalgorithmen zu umgehen, überschreiben die Angreifer den letzten Commit regelmäßig. Oft nutzen sie die harmlose Nachricht „Update README.md" – und das alle paar Stunden. Diese konstante Aktivität hält die bösartigen Repos am Leben und verhindert automatisierte Flaggen.
Die Entdeckung begann im Februar 2026, als der Forscher ein Klon seines eigenen Projekts über eine Suchmaschine fand. Bis Mitte Juni analysierte er 16 Millionen Commits über fünf Tage mit GH Archive. Von 40.000 Verdachtsfällen bestätigten sich 10.000 als schädlich – eine Trefferquote von 25 Prozent.
Blockchain als Kommandozentrale
Die verteilte Malware umfasst bekannte Varianten wie SmartLoader, StealC und Lumma Stealer. Diese stehlen Browser-Zugangsdaten, Kryptowährungs-Wallets und System-Authentifizierungstoken.
Besonders raffiniert: SmartLoader und StealC nutzen Smart Contracts auf der Polygon-Blockchain für ihre Kommando- und Kontrollkommunikation. Andere Varianten kontaktieren bestimmte IP-Adressen, um zusätzliche Module herunterzuladen.
Erste Sicherheitsscans wie VirusTotal erkannten die Bedrohung oft nicht – solange nur die Download-Links analysiert wurden. Erst beim Hochladen der ZIP-Archive selbst zeigte sich die Schadsoftware. Nach der öffentlichen Enthüllung hat GitHub begonnen, die identifizierten Repositories zu löschen.
Angesichts immer komplexerer Bedrohungen durch Malware und Datendiebstahl müssen Unternehmen ihre IT-Sicherheit proaktiv stärken. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und Ihre Firma ohne hohe Investitionen langfristig absichern. Kostenlosen Cyber-Security-Leitfaden anfordern
Gezielte Angriffe auf Nischen
Die Kampagne zielt auch auf spezifische Gruppen ab – etwa Retro-Gaming-Fans. Erst kürzlich warnten Sicherheitsexperten vor gefälschten Repos, die als Homebrew-Audio-Plugins für die PlayStation Vita getarnt waren. Ein Projekt namens EQVita enthielt ein getarntes Lua-Skript, das eine mehrstufige Angriffskette auslöste und Lumma Stealer auf Windows-Systemen installierte.
Supply-Chain-Alarm
Die Entdeckung fällt mit breiteren Sicherheitsbedenken zusammen. Branchenanalysten verfolgen den „Mini Shai-Hulud"-Wurm, eine Bedrohung der vierten Generation, die über 170 npm-Pakete und mehrere PyPI-Pakete infiziert hat. Der Quellcode des Wurms wurde im Mai 2026 von der Gruppe TeamPCP veröffentlicht. Er kann AWS-Zugangsdaten, GitHub-Personal-Access-Tokens und SSH-Schlüssel stehlen.
Ein weiterer Angriff namens Miasma kompromittierte ab dem 1. Juni 2026 insgesamt 32 Pakete im Red-Hat-Cloud-npm-Bereich. Diese Kampagne zielt speziell auf KI-Entwicklungswerkzeuge ab, darunter Projekte mit Claude Code und VS Code, um Cloud-Identitäten und KI-API-Schlüssel zu erbeuten.
Der Forscher hat ein Erkennungstool namens „Git Malware Finder" veröffentlicht – zusammen mit einer vollständigen Liste der identifizierten schädlichen Repositories. Entwickler sollten dringend prüfen, ob sie betroffene Projekte genutzt haben.
