Persistente Malware bleibt auch nach einem Systemneustart aktiv. Sie nistet sich so ein, dass sie dauerhaft mit dem System hochfährt und sich tief in Benutzerverzeichnisse oder Systemfunktionen integriert.
Cyberkriminalität ist längst kein Szenario mehr, das sich nur auf Phishing-Mails und Ransomware-Kampagnen beschränkt. Eine neue Qualität der Realität ist erreicht – subtil, zielgerichtet und tief in Entwicklungsprozesse integriert. Die jüngst von Heise Online aufgedeckte Malware-Masche über gefälschte Jobangebote, die mit infizierten Git-Repositories arbeiten, markiert einen kritischen Wendepunkt – und sollte alle Führungsetagen in Alarmbereitschaft versetzen.
Kriminelle attackieren gezielt Entwickler über Plattformen wie GitHub, erschleichen sich Vertrauen durch manipulierte Jobs und injizieren so Schadsoftware direkt in die Systeme – von dort aus beginnt eine systematische und hochentwickelte Ausspähung von Unternehmensdaten. Was wie ein Einzelfall wirkt, ist ein systematisch gehärteter und global erprobter Angriffsvektor, der das Potenzial hat, ganze Unternehmen von innen heraus zu kompromittieren – inklusive Datenabfluss, Industriespionage und langfristiger Wirtschaftsschädigung.
Dieser Artikel analysiert das Vorgehen der Angreifer, zeigt auf, warum Unternehmen und insbesondere ihre Führungsebene dringend handeln müssen – und wie ProSec mit aktiver Prävention und Incident Response hier wirkungsvoll unterstützen kann.
Die neue Betrugsstrategie ist perfide: Entwicklungs- oder Freelancer-Plattformen werden genutzt, um scheinbar legitime Aufträge zu vermitteln. Die Freelancer – oft hoch qualifizierte Entwickler – erhalten Zugriff auf private Git-Repositories mit angeblichem Projekttemplate. Darin enthalten ist ein unscheinbares Node.js-Skript, welches nach dem Projektstart über `npm run` aktiviert wird.
Was auf die Ausführung eines Standard-Ablaufs hindeutet, beinhaltet jedoch eine tückische Umleitung: Über ein per HTTP nachgeladenes JavaScript, das durch das Kommando `eval()` zur Ausführung gebracht wird, landet Schadcode direkt im System des ersichtlich gutgläubigen Entwicklers. Ohne Misstrauen durch technische Abläufe zu signalisieren, nistet sich die Malware als persistente, schwer erkennbare Spionage-Instanz auf dem Rechner ein.
Bemerkenswert ist: Die Attacke setzt keine technische Schwachstelle im Zielsystem voraus. Sie nutzt lediglich die gute Absicht und (technisch legitimen) Ablauf eines Projektstarts voll aus. Das eigentliche Einfallstor? Das Vertrauen des Mitarbeiters.
Der im Heise-Bericht veröffentlichte Schadcode umfasst komplexe Funktionen – besonders alarmierend für Geschäftsführungen, CISOs und CTOs sind folgende Komponenten:
Dies führt zu einem ernstzunehmenden Angriffsszenario nicht nur in IT-Abteilungen, sondern auf die gesamte Unternehmensarchitektur – inklusive DevOps-Prozesse, Business-Logik und kritische Systeme.
Viele Organisationen erkennen den Vorfall möglicherweise gar nicht. Einzelne Entwickler arbeiten remote, oft auf BYOD-Systemen, oder nutzen Homeoffice-Umgebungen ohne ausreichende Segmentierung der Netzwerke. Damit wird eine einzelne infizierte Maschine zur trojanischen Tür in das gesamte Unternehmensnetzwerk.
Die Gefahr? Organisationen erkennen die Infektion oft zu spät – oder überhaupt nicht. Symptome wie ungewöhnlicher Netzwerkverkehr, Credential-Leaks oder nicht-autorisierte Repo-Zugriffe erscheinen zunächst zufällig und unzusammenhängend. Das liegt an der Gestaltung solcher Malware-Varianten: Sie sind „leise“, unauffällig und richten sich nicht mehr an leichtgläubige Anwender, sondern an die gut aufgehängte Entwickler-Elite – mit Zugriff auf produktionsnahe Systeme.
Im Kern zeigt sich: Angriffe richten sich längst nicht mehr (nur) auf Endpoints, sondern auf Prozesse, Vertrauen und menneschliches Verhalten – mit massiver Wirkungskette bis ins Wirtschafts- und Reputationsrisiko.
Sicherheitsunternehmen wie Kaspersky benennen diese Angriffsmuster als „GitVenom“. Seit mindestens drei Jahren im Umlauf, bleibt überraschend, in welchem Maß Unternehmen noch keinerlei institutionalisierte Verteidigung dagegen etabliert haben. Im englischsprachigen Raum kursieren bereits Checklisten, um gefälschte Entwicklerprojekte zu erkennen – doch auch diese stoßen auf operative Limitierungen.
Denn: Wenn das Governance Modell nicht ausreicht, Entwicklerplattformen vollständig isoliert zu behandeln, bleibt das Risiko bestehen. Hier offenbart sich eine systematische Lücke zwischen technischer Security und strategischem Unternehmensschutz.
Was bedeutet das konkret für Sie als Geschäftsführer, CIO oder CISO?
Wenn Sie diese Fragen nicht mit einem sicheren „Ja“ beantworten können, ist es nur eine Frage der Zeit, bis ein solcher Angriffsvektor auch Ihr Unternehmen trifft.
ProSec verfolgt einen ganzheitlichen Ansatz in der IT- und Anwendungssicherheit – speziell an der Schnittstelle von DevSecOps, hybriden Infrastrukturen und proaktivem Risikomanagement. Auf Basis unserer Erfahrungen mit realen Angriffsketten und unserer Nähe zu aktuellen Bedrohungstrends können wir Unternehmen konkret an folgenden Punkten unterstützen:
Für ProSec steht dabei immer im Vordergrund: Sicherheit muss Geschäftsprozesse ermöglichen – nicht behindern. Aus diesem Grund kombinieren wir technisches Know-how mit pragmatischer Lösungsorientierung für nachhaltige Resilienz.
Ein Git-Repository ist ein Speicherort für Quellcode, der Versionskontrolle ermöglicht. Es erlaubt, Codeänderungen nachzuverfolgen und parallel zu entwickeln – lokal oder auf Plattformen wie GitHub.
Eval() ist eine Funktion in JavaScript, die übergebene Zeichenketten als Programmcode ausführt. Dadurch können dynamische Inhalte ablaufen – was bei Malware häufig ausgenutzt wird, um Schadcode umzusetzen.
Ein Infostealer ist eine Schadsoftware, die personenbezogene oder geschäftskritische Informationen wie Passwörter, Cookies, Krypto-Wallets oder sensible Dateien automatisiert ausliest und an Angreifer übermittelt.
Ein C2-Server ist die Steuerzentrale einer Malware-Infektion. Von dort aus empfängt die Schadsoftware Befehle – z. B. welche Daten zu sammeln oder weitere Module nachzuladen sind.
Persistente Malware bleibt auch nach einem Systemneustart aktiv. Sie nistet sich so ein, dass sie dauerhaft mit dem System hochfährt und sich tief in Benutzerverzeichnisse oder Systemfunktionen integriert.
