Derzeit warnt GitHub vor einer raffinierten Social-Engineering-Kampagne, die es auf Entwickler in den Bereichen Blockchain, Kryptowährung, Online-Glücksspiel und Cybersicherheit abgesehen hat. Die Kampagne wird der nordkoreanischen Hackergruppe Jade Sleet – auch bekannt unter dem Namen Lazarus - zugeschrieben und zielt darauf ab, Malware auf den Geräten der Opfer zu platzieren.
Die Angreifer nutzen gefälschte Identitäten auf GitHub und in sozialen Medien, um Kontakt mit den Entwicklern herzustellen und Vertrauen aufzubauen. Die Gespräche werden dann auf andere Plattformen wie zum Beispiel WhatsApp verlagert.
Sobald das Vertrauen gewonnen ist, laden die Hacker die Opfer ein, an einem Projekt mitzuarbeiten und ein GitHub-Repository zu klonen, das scheinbar mit Media-Playern und Tools aus dem Kryptowährungsbereich zu tun hat.
Jedoch enthalten diese Projekte bösartige NPM-Abhängigkeiten, die weitere Malware auf die Geräte der Opfer herunterladen. Bei NPM handelt es sich um einen Paketmanager für JavaScript-Libraries. Die genaue Funktionsweise der Malware konnte noch nicht vollständig analysiert werden.
GitHub hat alle verdächtigen Konten gesperrt und eine Liste der Indikatoren der Kampagne unter einem Blog-Beitrag veröffentlicht. Die Lazarus-Gruppe hatte bereits in der Vergangenheit Kryptowährungsunternehmen und Forscher ins Visier genommen, um illegal Devisen für den nordkoreanischen Staat zu beschaffen.
Die Cyberabwehr des Landesamtes für Verfassungsschutz rät Nutzern der Github-Plattform und insbesondere Entwicklern und
Mitarbeitern in den (potenziell) betroffenen Branchen auf verdächtige Aktivitäten in dieser Hinsicht zu achten und diese den
Sicherheitsbehörden zu melden.