Operation, Muck

Operation Muck and Load: 222 GitHub-Repos mit Schadsoftware

Veröffentlicht: 11.07.2026 um 00:06 Uhr, Redaktion boerse-global.de

Entwickler im Visier: Eine großangelegte Kampagne verteilt Malware über gefälschte GitHub-Repositories und bedroht die Software-Lieferkette.

Operation Muck and Load: 222 GitHub-Repos mit Schadsoftware entdeckt
Leuchtendes digitales Vorhängeschloss-Symbol auf unscharfer GitHub-Oberfläche mit Code, symbolisiert Software-Sicherheitsbedrohungen. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsforscher haben eine massive Schadsoftware-Kampagne aufgedeckt, die über 200 GitHub-Repositories verteilt wurde. Die als Operation Muck and Load bekannte Aktion zielt gezielt auf Entwickler und deren Software-Infrastruktur ab – ein wachsender Trend, der auch deutsche Unternehmen betrifft.

Gefälschte Go-Module als Einfallstor

Die Analyse des Cybersicherheitsunternehmens Socket und weiterer Forscher offenbarte ein Netzwerk von 222 Köder-Repositories, verteilt auf 190 verschiedene GitHub-Konten. Die Angreifer nutzen ein bösartiges Go-Modul, das sich als legitimes DNS-Scanning-Tool tarnt. Seit Ende Januar 2026 veröffentlichten die Täter mehr als 1.200 Versionen dieses Moduls – rund 700 davon enthielten Schadcode.

Die Infektionskette beginnt, sobald ein Entwickler das kompromittierte Go-Modul integriert. Im Hintergrund startet ein verstecktes PowerShell-Skript, das eine sogenannte Resolver-Adresse von verschiedenen öffentlichen Plattformen abruft – darunter Pastebin, YouTube, Instagram, Telegram und Google Docs. Diese „Dead Drop"-Seiten liefern die URLs für die eigentliche Schadsoftware.

Die identifizierten Malware-Arten lesen sich wie das Who-is-Who der Cyberbedrohungen: Vidar-Infostealer, AsyncRAT, Quasar- und Remcos-Trojaner sowie XMRig-Cryptominer. Auffällig: Alle 222 Repositories nutzten denselben GitHub-Actions-Workflow und waren mit einer einzigen Angreifer-E-Mail-Adresse verknüpft. Das bösartige Go-Modul wurde inzwischen blockiert, GitHub über die Ergebnisse informiert.

Wallet-Diebstahl: Angriff auf Injective Labs

Ein zweiter Vorfall zeigt, wie verwundbar selbst etablierte Entwickler-Plattformen sind. Injective Labs meldete die Kompromittierung seines GitHub-Kontos, über das ein infiziertes npm-Paket verbreitet wurde. Das betroffene Injective SDK wird normalerweise rund 50.000 Mal pro Woche heruntergeladen.

Die schadhafte Version v1.20.21 war so programmiert, dass sie in die Schlüsselableitungsfunktionen von Wallets eingriff. Das ermöglichte den Diebstahl privater Schlüssel und mnemonischer Seed-Phrasen von Entwicklern. Die gestohlenen Daten wurden über HTTP-Header an einen betrügerischen Server weitergeleitet.

Anzeige

Wer die Gefahr gefälschter GitHub-Repos für sein Team einschätzen will, findet in diesem Report die wichtigsten Schutzmaßnahmen – von Repo-Prüfung bis HalluSquatting-Abwehr. Jetzt kostenlosen Sicherheits-Report anfordern

Laut Injective Labs war die infizierte Version weniger als eine Stunde online und wurde 310 Mal heruntergeladen, bevor sie zurückgezogen wurde. Eine bereinigte Version des SDK ist verfügbar. Branchenanalysten von CertiK betonen, dass Wallet-Kompromittierungen zu einem erheblichen Bedrohungsvektor geworden sind: Allein im ersten Halbjahr 2026 entstanden dadurch Verluste von 444 Millionen Euro in 33 Vorfällen.

KI-Halluzinationen als Angriffsvektor

Forscher der Universität Tel Aviv, des Technion und von Intuit haben eine neue Angriffsmethode namens HalluSquatting dokumentiert. Sie nutzt die bekannte Schwäche großer Sprachmodelle (LLMs), die dazu neigen, Paketnamen oder Repository-URLs zu halluzinieren.

Die Studie ergab, dass KI-Tools für die Code-Entwicklung Halluzinationsraten von bis zu 85 Prozent aufweisen können. Angreifer registrieren im Voraus die falschen Repository-Namen, die diese KI-Agenten wahrscheinlich vorschlagen werden. Wenn ein Entwickler oder ein automatisiertes KI-Tool versucht, das vorgeschlagene, aber nicht existierende Paket zu installieren, laden sie unwissentlich schädliche Befehle herunter und führen sie aus. Diese Methode könnte genutzt werden, um groß angelegte agentische Botnetze aufzubauen – ein Szenario, das Sicherheitsexperten seit Monaten fürchten.

GigaWiper: Die zerstörerische Hintertür

Anzeige

Entwickler, die Go-Module oder npm-Pakete einsetzen, brauchen jetzt einen klaren Sicherheitsfahrplan – bevor infizierte Abhängigkeiten wie bei Injective Labs Wallet-Schlüssel stehlen. Dieser Leitfaden liefert Prüfschritte und Notfall-Checkliste. Go/npm-Sicherheitsleitfaden jetzt sichern

Microsoft-Sicherheitsforscher veröffentlichten zudem Details zu einer hochentwickelten Go-basierten Hintertür namens GigaWiper. Erstmals im Oktober 2025 beobachtet, zeigt die aktuelle Analyse, dass die Malware die Fähigkeiten von drei verschiedenen Familien vereint: Crucio-Ransomware, FlockWiper und einem eigenständigen Disk-Wiper.

GigaWiper unterstützt rund 20 Befehle – von Bildschirmaufzeichnung und Fernsteuerung bis zur dauerhaften Festplattenlöschung und der Auslieferung einer Fake-Ransomware, die keine Entschlüsselung ermöglicht. Die Malware hält sich auf Windows-Systemen, indem sie sich als geplante Update-Aufgabe für Cloud-Speicherdienste tarnt. Die Kommando-und-Kontroll-Infrastruktur nutzt spezifische Ports für RabbitMQ- und Redis-Protokolle – ein weiteres Indiz für die Professionalität der Angreifer.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69740187 |