109 gefälschte GitHub-Repositories zur Verbreitung von SmartLoader und StealC Malware

Eine groß angelegte Malware-Verbreitkampagne wurde aufgedeckt, bei der 109 gefälschte GitHub-Repositories beteiligt waren, die dazu dienten, Benutzer dazu zu verleiten, zwei gefährliche Malware-Tools namens SmartLoader u Eine groß angelegte Malware-Verbreitkampagne wurde aufgedeckt, bei der 109 gefälschte GitHub-Repositories beteiligt waren, die dazu dienten, Benutzer dazu zu verleiten, zwei gefährliche Malware-Tools namens SmartLoader und StealC herunterzuladen.

Die Kampagne wurde sorgfältig um geklonte Versionen legitimer Open-Source-Projekte aufgebaut, was es für normale Benutzer schwierig machte, den Unterschied zwischen echt und gefälscht zu erkennen.

Der Angreifer hinter dieser Kampagne kopierte echte GitHub-Projekte, veröffentlichte sie unter verschiedenen Konten erneut und ersetzte die ursprüngliche Dokumentation durch Download-Buttons, die auf bösartige ZIP-Dateien zeigten.

Diese ZIP-Dateien waren tief in den Verzeichnisstrukturen der Repositories versteckt und so gestaltet, dass sie wie gewöhnliche Release-Pakete aussahen. Der Quellcode der geklonten Projekte wurde größtenteils unberührt gelassen, was die gefälschten Repositories auf den ersten Blick glaubwürdig erscheinen ließ.

Ein Benutzer, der einem Projektnamen vertraute oder den Code schnell überflog, konnte leicht zu einem schädlichen Download geleitet werden, ohne es jemals zu wissen.

Hexastrike-Analysten identifizierten 109 bösartige Repositories, die über 103 separate GitHub-Konten verteilt waren, wobei die Kampagne Anzeichen einer Aktivität von mindestens sieben Wochen vor ihrer Überprüfung zeigte und neue Repositories bis zum 12. April 2026 erschienen.