Gefahr aus dem Code: Hackergruppe Water Curse nutzt GitHub für Malware-Verbreitung

Die Hackergruppe Water Curse missbraucht GitHub – eigentlich eine Plattform für offene Zusammenarbeit in der Softwareentwicklung – gezielt zur Verbreitung raffinierter Malware. Wie Sicherheitsforscher von Trend Micro berichten, betreibt die Gruppe mindestens 76 GitHub-Konten, über die sie mehrstufige Schadsoftware verbreitet. Die Angreifer betten bösartige Payloads direkt in Build-Skripte und Projektdateien ein – eine perfide Methode, um legitime Open-Source-Projekte zu kompromittieren. Besonders brisant: Die Schadsoftware ermöglicht nicht nur die Exfiltration sensibler Daten wie Anmeldedaten, Sitzungstoken und Browser-Informationen, sondern auch Fernzugriff und eine langfristige Verankerung im System.

Missbrauch legitimer Dienste und Sabotage von Schutzmechanismen

Zum Arsenal der Gruppe gehören darüber hinaus Maßnahmen zur Deaktivierung von Windows Defender sowie das Löschen von Schattenkopien – ein Angriff auf die Systemwiederherstellung. Für die Steuerung der kompromittierten Systeme und den Abfluss gestohlener Daten nutzt Water Curse gängige Plattformen wie Telegram und Gofile.

Zielgruppe: Entwickler, Red Teams und DevOps

Die Kampagne birgt vor allem Risiken für Organisationen, die stark auf Open-Source-Software angewiesen sind – darunter Cybersicherheitsteams, Spieleentwickler und DevOps-Umgebungen. Die Angriffe unterstreichen einmal mehr, wie wichtig es ist, Open-Source-Komponenten, insbesondere Build-Skripte und Projektverläufe, vor dem Einsatz sorgfältig zu überprüfen.

Das Trend Micro Managed Detection and Response (MDR)-Team hat mehrere Vorfälle analysiert, die Open-Source-Projektdateien betrafen, die auf GitHub gehostet wurden. Diese Tools, darunter ein SMTP-E-Mail-Bomber und Sakura-RAT, wurden als legitime Penetrationstest-Utilities präsentiert, enthielten jedoch versteckte schädliche Payloads in ihren Visual Studio-Projektkonfigurationsdateien. Die Angreifer nutzten das inhärente Vertrauen in Open-Source-Software aus, um Benutzer – Penetrationstester, Sicherheitsexperten oder Personen, die bei ihrer Arbeit häufig auf Open-Source-Tools angewiesen sind – zum Herunterladen und Ausführen des infizierten Codes zu verleiten.

Nach der Ausführung initiierten die schädlichen Payloads komplexe mehrstufige Infektionsketten unter Verwendung verschleierter Skripte, die in Visual Basic Script (VBS) und PowerShell geschrieben waren. Diese Skripte luden verschlüsselte Archive herunter, extrahierten Electron-basierte Anwendungen und führten umfangreiche Systemerkundungen durch. Die Angreifer setzten Anti-Debugging-Techniken, Methoden zur Rechteausweitung und Persistenzmechanismen wie geplante Aufgaben und Registrierungsänderungen ein, um sich langfristig auf den betroffenen Systemen zu etablieren.

Verwandte Vorfälle und Analysen anderer Experten deckten systematische Aktivitäten zur Datenbereitstellung und -exfiltration auf, die durch 7-Zip-Komprimierung und die Kommunikation mit mehreren externen Domänen zur Bereitstellung der Payloads und zum Hochladen der Daten erleichtert wurden.

Diese Aktivitäten/Malware-Kampagnen werden Water Curse zugeschrieben, das wir erstmals im Mai 2025 identifiziert haben. Es gibt jedoch Hinweise auf damit verbundene Aktivitäten und GitHub-Konten, die bis März 2023 zurückreichen. Die Gruppe ist finanziell motiviert, wobei das beobachtete Verhalten auf Ziele wie den Diebstahl von Anmeldedaten, Session-Hijacking und den Weiterverkauf illegaler Zugangsdaten hindeutet.

Water Curse zielt in erster Linie auf Red Teams und Penetrationstester, Entwickler und Gamer ab, was eine hybride Strategie widerspiegelt, die die Kompromittierung der Lieferkette mit opportunistischer Ausnutzung in digitalen Communities verbindet. Obwohl die Gruppe weltweit tätig ist, zeichnen sich ihre Aktivitäten durch englischsprachige Artefakte, eine weit verbreitete GitHub-basierte Bereitstellung und eine allgemeine Opferbasis aus, die sich über mehrere Regionen erstreckt.

Water Curse verwendet eine Vielzahl von Tools und Sprachen, darunter PowerShell, JavaScript, C#, VBS-Skripte und kompilierte PE-Binärdateien, was auf eine hohe Anpassungsfähigkeit und den Zugang zu funktionsübergreifenden Entwicklungskapazitäten hinweist. Die Taktiken der Gruppe unterstreichen einen wachsenden Trend zu entwicklerorientierten Informationsdieben, die die Grenze zwischen Red-Team-Tools und aktiver Malware-Verbreitung verwischen.

Visuelle Darstellung der Infektionskette von Water Curse mit detaillierten Angaben zu jeder Phase, vom ersten Zugriff über die Bereitstellung der Nutzlast bis hin zur Persistenz, Datenerfassung und Exfiltration.

Erster Zugriff

In diesem Fall haben wir mehrere Open-Source-Projektdateien auf GitHub entdeckt, die eingebettete Malware enthielten. Die schädlichen Payloads wurden über ZIP-Archiv-Downloads über die Domain codeload.github.com von GitHub bereitgestellt, einem Standard-Endpunkt für die Archivierung von Repositorys. Wir haben zwei bemerkenswerte URLs identifiziert: Die erste ist zum Zeitpunkt der Erstellung dieses Artikels noch aktiv und zugänglich, während die zweite entfernt wurde oder nicht mehr zugänglich ist:

Downloaded file	GitHub URL
Email-Bomber-SMTP-main.zip	hxxps://codeload[.]github[.]com/FrancoK10/Email-Bomber-SMTP/zip/refs/heads/main
Sakura-Rat-Hvnc-Hidden-Browser-Remote-Administration-Trojan-Bot-Native-main.zip	hxxps[://]codeload[.]github[.]com/Delimbo/Sakura-Rat-Hvnc-Hidden-Browser-Remote-Administration-Trojan-Bot-Native/zip/refs/heads/main

URLs, die die schädlichen Payloads enthalten

Zuordnung

Der als „Water Curse“ identifizierte Bedrohungsakteur ist eine neu entdeckte, äußerst aktive Gruppe, die GitHub als Plattform für die Verbreitung von Repositorys mit Schadsoftware missbraucht. Die Analyse hat mindestens 76 GitHub-Konten aufgedeckt, die mit dem Bedrohungsakteur in Verbindung stehen, was auf eine breit angelegte und anhaltende Kampagne hinweist, die sich über mehrere Communities erstreckt. Die größten Risiken gehen von bösartigen Implantaten aus, die in Red-Team- und Penetrationstest-Tools eingebettet sind und eine eindeutige Bedrohung für die Lieferkette von Sicherheitsexperten und Unternehmensumgebungen darstellen.

Die Aktivitäten von Water Curse gehen über die Cybersicherheit hinaus. Ihre Repositorys enthalten Malware, Umgehungsprogramme, Spiel-Cheats, Aimbots, Tools für Kryptowährungs-Wallets, OSINT-Scraper, Spam-Bots und Credential Stealer. Dies spiegelt eine multivertikale Targeting-Strategie wider, die Cyberkriminalität mit opportunistischer Monetarisierung verbindet.

Diese Diversifizierung deutet darauf hin, dass der Akteur technisch vielseitig ist, finanziell motiviert ist und möglicherweise als Teil eines lose organisierten oder dienstleistungsorientierten Bedrohungsclusters operiert. Ihre Infrastruktur und ihr Verhalten deuten auf einen Fokus auf Tarnung, Automatisierung und Skalierbarkeit hin, mit aktiver Exfiltration über Telegram und öffentliche Dateifreigabedienste.

Die in den zugehörigen GitHub-Repositorys gefundenen Projekte lassen sich in folgende Kategorien einteilen:

• Cybersicherheitstools und Exploits: Umfasst Dienstprogramme für Spoofing, Umgehung, Malware-Generierung, RATs, CVE-Ausnutzung und andere offensive Sicherheitsoperationen
• OSINT-, Scraping- und Spam-Tools: Umfasst Tools für die Sammlung von Open-Source-Informationen, das Scraping von Daten, Massenversand von Nachrichten oder Spam-Aktivitäten
• Cheats, Hacks und Bots für Spiele: Umfasst Cheat-Engines, Aimbots, ESPs, Automatisierungstools und Unlocker, die für beliebte Spiele entwickelt wurden
• Krypto-Spiel-Bots und Cheats: Konzentriert sich auf Bots und Automatisierungstools, die auf Blockchain-basierte oder Kryptowährungs-bezogene Spiele abzielen
• Dienstprogramme für Anmeldedaten, Wallets und Verschleierung: Tools zum Verwalten, Stehlen oder Verstecken von Anmeldedaten, digitalen Wallets oder Payloads
• Bots und allgemeine Automatisierungstools: Umfasst generische Automatisierungsskripte und Bot-Frameworks für verschiedene Aufgaben
• Entwicklungs- und sonstige Projekte: Eine Sammlung weiterer entwicklungsbezogener oder nicht kategorisierter Tools und Dienstprogramme

Von der Erkennung zur Abwehr: Lehren aus der „Water Curse“-Kampagne

Die Water Curse-Kampagne unterstreicht, wie Täuschung, Ausnutzung von Vertrauen und tiefgreifende technische Verschleierung in modernen Cyber-Bedrohungen zusammenwirken. Ähnlich wie bei der Curse-Kampagne, die ihre Opfer unter dem Deckmantel von Social Engineering lockte, hat diese Bedrohungsgruppe ihre böswilligen Absichten hinter legitim aussehenden GitHub-Repositorys versteckt. Diese äußerst aktive Gruppe hat eine groß angelegte Operation orchestriert und dabei mindestens 76 GitHub-Konten genutzt, um weaponisierte Repositorys zu verbreiten.

Die Kampagne richtet sich zwar in erster Linie gegen Cybersicherheitsexperten, ihre Reichweite geht jedoch weit über die Sicherheitscommunity hinaus. Die Repositorys der Gruppe enthalten Spiel-Cheats, Tools für Krypto-Wallets, Credential Stealer und vieles mehr, was auf einen vielfältigen, finanziell motivierten und technisch versierten Bedrohungsakteur hindeutet. Der Einsatz von Stealth-Techniken, Automatisierung und öffentlichen Exfiltrationskanälen wie Telegram lässt auf eine skalierbare und persistente Kampagne schließen, die wahrscheinlich Teil eines umfassenderen servicebasierten Cyberkriminalitätsmodells ist.

Diese Analyse unterstreicht die entscheidende Rolle von Managed Detection and Response (MDR) in modernen Cybersicherheitsmaßnahmen. Durch proaktive Bedrohungssuche, Korrelation von Telemetriedaten über Umgebungen hinweg und Expertenanalysen helfen MDR-Funktionen Unternehmen dabei, Kampagnen wie die der Water Curse-Gruppe zu identifizieren und zuzuordnen. Dieser Fall zeigt auch, wie MDR Intrusion Sets aufdecken kann, die von herkömmlichen Tools möglicherweise übersehen werden, und damit für die Abwehr komplexer, hartnäckiger Bedrohungen unverzichtbar ist.

Darüber hinaus sollten Unternehmen das Sicherheitsbewusstsein und die Sicherheitshygiene bei Entwicklern, DevOps-Teams und Penetrationstestern stärken, die häufig an vorderster Front mit Bedrohungsvektoren konfrontiert sind, die Open-Source-Plattformen nutzen. Die Validierung aller Codes von Drittanbietern sollte gefördert und die Verwendung interner Code-Repositorys, soweit möglich, vorangetrieben werden. Durch die Verbesserung der Verifizierungsverfahren, z. B. durch das Markieren ungewöhnlicher Build-Skripte, unbekanntes Dateiverhalten oder übermäßige Verschleierung, kann das Risiko durch diese und ähnliche Angriffe auf die Lieferkette erheblich verringert werden.

Quelle: Trend Micro

---