Den gemeinsamen Kern der unterschiedlichen Pakete bildet laut dem Bericht ein auf LuaJIT basierender Trojaner, der Screenshots erstellt, den Standort des Opfers ermittelt und vertrauliche Daten exfiltriert. Netskope Threat Labs entdeckte die Schadpakete zuerst in einem GitHub-Repository, das einen eigens entwickelten LuaJIT-Trojaner zur Umgehung automatisierter Analyse verbreitete.
“Das Repository gab sich als Docker-Bereitstellungswerkzeug für ein legitimes KI-Projekt aus, um containerisiertes OpenClaw auszurollen – mit dem echten Upstream-Repository, einer aufgeräumten README und einer github.io-Seite, um authentisch zu wirken”, schreibt Vini Egerland, Senior Staff Threat Research Engineer bei Netskope. Die detaillierte README enthielt Installationsanweisungen für Linux und Windows, um die vorgetäuschte Seriosität zu untermauern.
Um das Repository echt erscheinen zu lassen, führten die Angreifer laut Egerland mehrere Mitwirkende auf, darunter einen Entwickler mit einem eigenen Repository von 568 Sternen, der während einer privaten Vorab-Phase zur Mitarbeit eingeladen wurde. Dieser Entwickler steuerte sogar funktionierenden Code bei, “möglicherweise in gutem Glauben”. Weitere Nachforschungen förderten mehr als 300 bestätigte vergiftete Pakete desselben Urhebers über mehrere Repositories hinweg zutage.
Netskope informierte GitHub am 20. März über die schädlichen Projekte. Zwei der Köder-Repositories blieben weiterhin aktiv: das “Fishing Planet Cheat Menu” und das “phone-number-location-tracking-tool”. Eine Stellungnahme von GitHub war zunächst nicht zu erhalten.
Technisch setzt die LuaJIT-Schadsoftware auf ein zweiteiliges Design: eine umbenannte Lua-Laufzeitumgebung in Kombination mit einem verschlüsselten Skript. Wird jede Datei einzeln eingereicht, besteht sie die Sandbox-Analyse unauffällig. “Die Bedrohung tritt erst zutage, wenn beide Komponenten zusammen ausgeführt werden”, so Egerland – mit fünf Anti-Analyse-Prüfungen, einer Verzögerung von rund 29.000 Jahren, um zeitgesteuerte Sandboxes auszuhebeln, einem sofortigen Vollbild-Screenshot des Desktops und dem Diebstahl von Zugangsdaten.
Nach der Aktivierung schleust die Malware die gesammelten Daten an einen Command-and-Control-Server in Frankfurt aus. Die eingebauten Funktionen zum Diebstahl von Anmeldedaten deuten laut Egerland auf das Potenzial für Folgekompromittierungen und seitliche Bewegung im Netzwerk hin.
Wie bei weiteren jüngst beobachteten Kampagnen scheinen die Angreifer KI zur Entwicklung genutzt zu haben. Netskope sah Belege dafür in den Köder-Namen, die systematisch und in großem Maßstab auf obskure biologische Taxonomie, archaisches Latein und medizinische Fachbegriffe zurückgreifen. Damit verschiebe sich die Bedrohung von isolierten Einzelfällen zu einem fortlaufend generierten, anpassungsfähigen Angriffsprozess.
Die Kampagne stelle eine “eigens geschaffene Lücke in der automatisierten Analysepipeline” dar, die Verteidiger zwinge, über reine Automatisierung hinauszugehen. Die Bedrohung sei darauf ausgelegt, jede automatisierte Schicht – Einzeldatei-Einreichung, Verhaltens-Sandbox, Hash-Abgleich – zu passieren und erst dann sichtbar zu werden, wenn ein menschlicher Analyst alles im Zusammenhang ausführt.
Die schiere Bandbreite der Köder zeigt laut Egerland, dass es dem Akteur um Masse über viele Zielgruppen hinweg geht, nicht um präzises Targeting. Verteidiger sollten daher jeden über GitHub angebotenen Download, “der einen umbenannten Interpreter mit einer undurchsichtigen Datendatei kombiniert, als vorrangigen Prüffall behandeln – unabhängig davon, wie legitim das umgebende Repository wirkt”. Eine umfassende Liste der Indikatoren für eine Kompromittierung samt Hashes, Endpunkt-Mustern und betroffenen GitHub-Konten enthält der Bericht.
