Cyberkriminelle nutzen GitHub jetzt selbst als Waffe. Sie erstellen gefälschte Repositorys, die funktionierenden Proof-of-Concept-Code für schwerwiegende Sicherheitslücken versprechen. Stattdessen liefern sie eine böse Hintertür namens WebRAT.
Dies ist nicht das erste Rodeo von WebRAT. Das Schadprogramm tauchte erstmals Anfang des Jahres auf und verbreitete sich über Raubkopien sowie Spiele-Cheats für Counter Strike, Roblox und sogar Rust. Aber die Betreiber haben gerade ihr Spiel verbessert. Sie zielen jetzt mit einer geschickt getarnten Vertriebsmethode auf ein viel technischeres Publikum ab.
Ausbeutung der Exploit-Jäger
Spätestens seit September erstellen Bedrohungsakteure ausgefeilte GitHub-Repositories. Diese Repos behaupten, funktionierende Exploits für mehrere Schwachstellen bereitzustellen, die für Schlagzeilen gesorgt haben. Die Sicherheitsforscher von Kaspersky haben 15 Repositories entdeckt, die WebRAT auf diese Weise pushen.
Eine Reihe gefälschter Exploits hat mehrere erhebliche Sicherheitslücken aufgezeigt. Der erste war CVE-2025-59295, der behauptet, ein Heap-basierter Pufferüberlauf in MSHTML und Internet Explorer auf Windows-Betriebssystemen zu sein; Das offensichtliche Endergebnis des „Exploits“ besteht darin, dass ein Angreifer durch das Senden speziell gestalteter Netzwerkpakete beliebigen Code auf einem Zielhost aus der Ferne ausführen kann.
Der zweite war CVE-2025-10294, der als kritische Authentifizierungsumgehung für WordPress ohne passwortbasierte Anmeldungen angepriesen wurde. Behauptet, einem Angreifer die Möglichkeit zu geben, sich als beliebiger Benutzer, einschließlich Administratoren, anzumelden, ohne dass eine Authentifizierung erforderlich ist.
Schließlich handelte es sich bei der dritten gefälschten Anzeige um CVE-2025-59230 – eine Sicherheitslücke der nächsten Ebene im Remote Access Connection Manager (RACM) von Microsoft. Die offensichtliche Schwäche von RACM würde es lokalen Angreifern ermöglichen, ihre Privilegien auf den Zugriff auf SYSTEM-Ebene auszuweiten.
Jedes Repository sah legitim aus. Sie lieferten detaillierte Informationen über die Sicherheitslücke, erklärten, was der mutmaßliche Exploit bewirkt, und listeten sogar verfügbare Abhilfemaßnahmen auf. Die Forscher von Kaspersky gehen davon aus, dass der gesamte Text mithilfe von Modellen der künstlichen Intelligenz generiert wurde. Die Struktur und Präsentation waren professionell genug, um erfahrene Entwickler zu täuschen.
Was WebRAT tatsächlich macht
Laut einem Solar4RAYS-BerichtWebRAT ist ab Mai eine Hintertür mit umfangreichen Möglichkeiten zum Informationsdiebstahl. Es sucht nach Anmeldeinformationen von Steam-, Discord- und Telegram-Konten. Und noch mehr! Es zielt auf Daten von Wallets ab, die virtuelle Vermögenswerte enthalten, was für Kriminelle von großem Wert ist.
Das Schadprogramm kapert jedoch nicht nur gespeicherte Informationen. Es belauscht Opfer über Webcams und macht sogar Screenshots von allem, was sie tun.
Die gefälschten Exploits kommen als passwortgeschützte ZIP-Dateien an. Darin finden Opfer eine leere Datei mit dem Passwort als Dateinamen, eine beschädigte Täuschungs-DLL, eine Batch-Datei für die Ausführungskette und den Haupt-Dropper namens rasmanesc.exe.
Nach der Ausführung macht sich der Dropper sofort an die Arbeit. Es erhöht seine Berechtigungen auf dem System und deaktiviert Windows Defender, um einer Erkennung zu entgehen. Der Schutz vor Malware, die aktiv versucht, die Sicherheit zu deaktivieren, erfordert eine starke, belastbare Sicherheitslösung. Anschließend lädt es die vollständige WebRAT-Nutzlast von einer fest codierten URL herunter und führt sie aus.
WebRAT verfügt über zahlreiche Persistenztaktiken, um sicherzustellen, dass es Systemneustarts übersteht. Es ändert Windows-Registrierungseinträge, nutzt den Taskplaner und verteilt sich selbst in zufälligen Systemverzeichnissen. Diese erschweren die Entfernung für infizierte Opfer.
Kasperskystellt fest, dass WebRAT dieser KampagneVariante stimmt mit zuvor dokumentierten Proben überein. „Die operativen Fähigkeiten stimmen weiterhin mit früheren Berichten überein“, erklärten die Forscher. Die Malware verfügt über die gleichen Funktionen zum Stehlen von Zugangsdaten, zum Ausspionieren von Webcams und zum Erfassen von Screenshots.
Die Verwendung gefälschter Exploits auf GitHub zur Verbreitung von Malware ist nicht gerade neu. Sicherheitsforscher haben diese Taktik in der Vergangenheit ausführlich dokumentiert. Kürzlich haben Bedrohungsakteure auf GitHub einen gefälschten „LDAPNightmare“-Exploit beworben, um Infostealing-Malware über ähnliche Methoden zu verbreiten.
Dieser Vorfall ist Teil eines umfassenderen Musters von Angreifern, die das GitHub-Ökosystem als Waffe einsetzen, wie in einer separaten Kampagne zu sehen ist, bei der Hacker mehrere Organisationen angegriffen habenGefährdung legitimer OAuth-Anwendungenauf der Plattform.
Kaspersky hat bösartige Repositories auf GitHub identifiziert und eine Liste davon zusammengestellt; Es wird jedoch erwartet, dass böswillige Akteure weiterhin versuchen werden, Benutzer zum Herunterladen ihrer Malware zu verleiten, indem sie neue Repositories mit unterschiedlichen Herausgebernamen erstellen und übermitteln. Da praktisch keine Eintrittsbarriere besteht, ist es für böswillige Akteure einfach, neue Repositories einzureichen, die für ahnungslose Benutzer legitim erscheinen.
Als Best Practice empfiehlt Kaspersky beim Testen von Code oder Exploits aus potenziell nicht vertrauenswürdigen Quellen, dass Entwickler und Sicherheitsexperten diese in einer kontrollierten Umgebung ausführen und sicherstellen, dass sie in der Lage sind, die Umgebung zu kontrollieren, in der der Exploit-Code ausgeführt wird.