Über 200 GitHub-Repositories mit Malware, darunter Fernzugriffstrojdner
Die Sicherheitsfirma Socket hat eine große Malware-Kampagne namens 'Muck and Load' aufgedeckt, bei der über 200 GitHub-Repositories genutzt wurden, um verschiedene Schadprogramme zu verbreiten.

Sicherheitsforscher von Socket haben eine umfangreiche Malware-Kampagne mit dem Codenamen "Muck and Load" aufgedeckt. Die Kampagne nutzt über 200 Code-Repositories auf GitHub, um verschiedene Schadprogramme zu verbreiten. Seit Anfang 2026 schleusen Angreifer über ein Go-Modul, das sich als DNS- und Subdomain-Scanning-Tool ausgibt, diverse Windows-Malware wie Remote-Access-Trojaner (RATs), Info-Stealer und Kryptowährungs-Miner ein.
Ein identifiziertes bösartiges Go-Modul, das ursprünglich als legitimes Open-Source-Projekt namens "dnsub-scanning-tool" getarnt war, wies eine ungewöhnlich schnelle Versionshistorie auf. Das Modul veröffentlichte in nur wenigen Monaten über 1.200 Versionen, von denen über 700 als bösartig eingestuft wurden. Vermutlich haben Angreifer GitHub Actions Workflows manipuliert, um die Versionsanzahl künstlich zu erhöhen und den Anschein legitimer Entwicklung zu erwecken.
Die Malware nutzt eine hochentwickelte Verbreitungsmethode. Nach der Ausführung wird eine codierte Datei heruntergeladen und mit dem Windows-Tool certutil in ein PowerShell-Skript dekodiert. Dieses Skript verwendet eine "Dead Drop Resolver"-Technik, um den tatsächlichen Speicherort der Nutzlast von verschiedenen öffentlichen Plattformen wie Pastebin, Lum, Telegram und Google Docs abzurufen. Dieser Ansatz ermöglicht es Angreifern, die URLs der Nutzlasten schnell zu ändern, ohne den anfänglichen Infektionsvektor zu modifizieren.
Die Untersuchung von Socket brachte diese Kampagne mit einer früheren Backdoor-Operation auf GitHub in Verbindung, die Sophos im Juni 2025 aufdeckte und ähnliche Indikatoren wie eine spezifische E-Mail-Adresse und Domainnamen aufwies. Obwohl GitHub und das Go-Sicherheitsteam keine offiziellen Erklärungen abgegeben haben, wurden die bösartigen Module vom Go-Modul-Proxy blockiert. Entwickler werden aufgefordert, bei verdächtigen Paketen, insbesondere solchen, die Kryptowährungs-Tools oder Cheat-Programme anbieten, Vorsicht walten zu lassen.