Arctic Wolf beschreibt eine breit angelegte Täuschungskampagne auf GitHub, bei der hunderte Repositories unter dem Namen bekannter Software- und Sicherheitsprojekte veröffentlicht wurden. Ziel war die Verbreitung eines Infostealers. Die Forscher entdeckten die Aktivität, nachdem eines ihrer Produkte in der Kampagne nachgeahmt worden war, und identifizierten insgesamt 292 gefälschte Repositories.

Die Repositorys enthielten jeweils eine README-Datei mit einem Link auf eine externe Download-Seite. Diese Landingpages sollten Vertrauen erzeugen und nutzten dafür passende Markenoptik, gefälschte Vertrauensabzeichen und Formulierungen wie „Sicheren Inhalt herunterladen“. Bei der Analyse des Codes stellten die Forscher fest, dass alle imitierten Marken auf demselben HTML-/JavaScript-Grundgerüst aufbauen. Arctic Wolf zufolge verwendet das clientseitige Skript zwei URL-Segmente: eines als rotierenden Kennzeichner zur Zuordnung des verweisenden Repositorys oder Weiterleiters, das andere als Referrer-Domain, aus der zugleich die sichtbare Markenbezeichnung abgeleitet wird.

Laut Arctic Wolf liefert die Seite ein großes ZIP-Archiv aus, dessen Name und Inhalt sich ungefähr minütlich ändern. Das Archiv enthält eine trojanisierte libcurl.dll sowie einen legitimen, signierten WinGUP-Updater, der je nach imitiertem Produkt unterschiedlich benannt wird. Wird die Datei gestartet, lädt gup.exe die libcurl.dll per Side-Loading nach. Diese dekodiert daraufhin einen eingebetteten Infostealer und führt ihn ausschließlich im Speicher reflektiv aus.

Bei der Malware handelt es sich den Forschern zufolge offenbar um eine Variante der Familie BoryptGrab. Sie sammelt Daten aus mehr als 19 Webbrowsern, stiehlt Informationen aus 32 Kryptowährungs-Wallets und exfiltriert zudem sensible Angaben aus Messenger- und Social-Media-Apps. Arctic Wolf hebt hervor, dass diese Variante eine bislang nicht dokumentierte Fähigkeit besitzt, Chromes App-Bound Encryption durch direkte Code-Injektion in den Browser-Prozess zu umgehen.

Die entwendeten Daten werden vor der Übertragung komprimiert und anschließend an einen in Russland gehosteten Kommando-und-Kontroll-Server gesendet. Eine Persistenz auf dem kompromittierten System richtet die Malware laut Arctic Wolf nicht ein. Stattdessen sei sie darauf ausgelegt, in einer einzigen Ausführung möglichst viele Informationen abzugreifen. Ebenso fehle jede Anti-Analyse-Schicht. Das temporäre Verzeichnis, in dem die gesammelten Daten vor der Exfiltration zwischengespeichert werden, werde nicht gelöscht und hinterlasse damit forensische Spuren.

Zum Zeitpunkt des Arctic-Wolf-Berichts hatte GitHub bereits einen großen Teil der schädlichen Repositories entfernt. Mehrere Dutzend GitHub-Pages-Weiterleiter waren nach Angaben der Forscher jedoch weiterhin aktiv. Eine eindeutige Zuordnung zu einem bestimmten Akteur gelang nicht. Arctic Wolf geht aber davon aus, dass der Betreiber wahrscheinlich russischsprachig und finanziell motiviert ist.

Arctic Wolf stellte außerdem eine Yara-Regel zur Erkennung der Aktivität sowie Indikatoren für eine Kompromittierung im Zusammenhang mit BoryptGrab bereit.