Sicherheitskrise auf GitHub: Über 10.000 manipulierte Repositories verbreiten Infostealer

Zusammenfassung

Auf GitHub wurde eine weitreichende Malware-Kampagne aufgedeckt, bei der Angreifer automatisierte Skripte nutzen, um fast 10.000 manipulierte Repositories zu erstellen. Diese Klone ahmen legitime Open-Source-Projekte bis ins Detail nach – inklusive Commit-Historie und Entwicklerprofilen. Ziel der Kampagne ist es, Schadsoftware (vor allem Infostealer zur Entwendung von Zugangsdaten) auf den Systemen von Entwicklern zu platzieren. Betroffen sind auch automatisierte Workflows und KI-gestützte Coding-Agenten, die unbemerkt schädliche Abhängigkeiten herunterladen könnten.

Was ist passiert?

Ein Entwickler mit dem Pseudonym „Orchid“ stellte fest, dass eigene Repositories geklont und unter fremden Accounts mit Schadcode modifiziert neu veröffentlicht wurden. Weitere Nachforschungen ergaben:

Ausmaß: Fast 10.000 manipulierte Klone existieren auf der Plattform.
Taktik: Die Angreifer manipulieren README-Dateien, um Links auf externe ZIP-Archive zu platzieren, die Trojaner wie Lumma Stealer enthalten.
Aktivitäts-Spoofing: Um in Suchergebnissen oben zu stehen (SEO-Poisoning) und Aktivität vorzutäuschen, löschen und erstellen die Angreifer stündlich Commits („Update README.md“).
GitHub-Kritik: Der Hinweisgeber Orchid bemängelt, dass GitHub nur auf direkte Meldungen reagiert und gemeldete Repositories löscht, anstatt proaktiv nach ähnlichen Mustern zu suchen.

Warum es wichtig ist

Der Vorfall markiert eine Eskalation bei Angriffen auf die Software-Lieferkette (Supply-Chain-Angriffe). Da Entwickler zunehmend auf Automatisierung und autonome KI-Coding-Agenten setzen, die Code selbstständig herunterladen und ausführen, steigt das Risiko verheerender Infektionen. Ein einziger Klon eines beliebten Projekts kann ausreichen, um sensible API-Keys, AWS-Anmeldedaten oder Krypto-Wallets im großen Stil abzugreifen.

Beweise

Die Kampagne wurde im Juni 2026 von Sicherheitsforschern und IT-Medien detailliert dokumentiert:

Berichterstattung: Golem.de und it-daily.net berichteten am 22. und 23. Juni 2026 ausführlich über Orchids Analysen und die 10.000 manipulierten Repositories.
Technische Indikatoren: Sicherheitsanalysen wiesen nach, dass die verlinkten ZIP-Archive schädliche Skripte (.cmd), Loader (.exe) und bösartige DLLs enthalten, die gängige Antiviren-Scanner umgehen.

Analyse

Die Kampagne macht sich das blinde Vertrauen in GitHub-Metadaten zunutze. Da die Commits und Beitragenden (Contributors) eines Repositories beim Forken oder Klonen täuschend echt kopiert werden können, ist für Anwender optisch kaum ein Unterschied zum Original erkennbar. Die stündlichen Updates täuschen zudem ein lebendiges Projekt vor. Die Trägheit von GitHubs Sicherheitsmaßnahmen begünstigt die Verbreitung solcher Masseninfektionen.

Praktische Erkenntnisse

Genaue Prüfung der URLs: Vor dem Klonen eines Repositories muss die URL und der Account-Name des Autors genau überprüft werden (Vermeidung von Typosquatting).
Keine ZIP-Downloads aus READMEs: Laden Sie niemals vorkompilierte Binärdateien oder ZIP-Archive über Links in README-Dateien herunter. Nutzen Sie stattdessen offizielle Releases oder Paketmanager.
KI-Agenten einschränken: Stellen Sie sicher, dass autonome Coding-Agenten in isolierten Sandbox-Umgebungen ausgeführt werden und keine Berechtigung haben, unüberprüften Code direkt auf dem Host-System zu installieren oder auszuführen.
Secrets-Management: Nutzen Sie dedizierte Tools wie HashiCorp Vault oder AWS Secrets Manager, um API-Keys lokal zu schützen, falls ein System kompromittiert wird.

Offene Fragen

Wird GitHub seine Sicherheitsmechanismen anpassen, um automatisierte Repositories mit identischem Commit-Verlauf und verdächtigen README-Links proaktiv zu blockieren?
In welchem Ausmaß wurden bereits Entwickler-Systeme oder CI/CD-Pipelines durch diese spezielle Kampagne kompromittiert?