Backdoor im Code: Hacker trickst Scriptkiddies mit Fake-Trojaner aus
Sicherheitsforscher von Sophos haben eine Malware untersucht, deren Ziel es offenkundig gewesen ist, Cyberkriminelle mit beschränkten technischen Fertigkeiten – auch bekannt als Scriptkiddies – zu attackieren. Konkret geht es um einen vermeintlichen Open-Source-Trojaner namens Sakura RAT, dessen Quellcode bis vor Kurzem auf Github zu finden war. Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) erklären, war dieser mit einer Backdoor ausgestattet.
Der Trojaner selbst war nach Angaben der Forscher keine echte Bedrohung, denn er war zum Zeitpunkt der Untersuchung gar nicht funktionstüchtig. Der Code war zwar teilweise von einem anderen quelloffenen Trojaner namens AsyncRAT kopiert, jedoch fehlten an einigen Stellen wichtige Funktionen, was einer tatsächlichen Ausführbarkeit der Malware im Wege stand.
Jedoch fanden die Sophos-Forscher an anderer Stelle bösartigen Code, der tatsächlich zur Ausführung gebracht wurde – und zwar durch sogenannte Prebuild-Events(öffnet im neuen Fenster), die in Visual Studio unmittelbar vor dem Build-Prozess ausgelöst werden. So kam es bei all jenen, die versuchten, Sakura RAT zu kompilieren, zu einer Infektion mit Infostealern und echten Remote-Access-Trojanern (RAT).
Weitere Projekte mit Backdoor
Bei ihren weiteren Recherchen gerieten die Sophos-Forscher nach eigenen Angaben in "einen Kaninchenbau aus Verschleierung, verworrenen Infektionsketten, Identifikatoren und mehreren Backdoor-Varianten". Sie fanden heraus, dass der Entwickler von Sakura RAT an 141 weiteren Github-Projekten beteiligt war, von denen 133 ebenfalls mit einer versteckten Backdoor ausgestattet waren – 111 davon über Prebuild-Events.
Mit einem Anteil von 58 Prozent handelte es sich bei der Mehrheit der mit einer Backdoor ausgestatteten Projekte um angebliche Gaming-Cheats. Knapp ein Viertel der Projekte richtete sich an Scriptkiddies, die auf der Suche nach Malware waren. Weitere Softwareprojekte hatten einen angeblichen Bezug zu Bots, Kryptowährungen oder anderen Tools.
Der älteste Commit, den die Forscher in den besagten Projekten finden konnten, wurde Ende 2023 erstellt. Einige Projekte schienen bis zuletzt aktiv weiterentwickelt worden zu sein. Bei genauerem Hinsehen stellte sich jedoch heraus, dass die Commits teilweise automatisiert waren, um ein betrügerisches Bild von einer aktiven Weiterentwicklung der jeweiligen Software zu erzeugen. Eines der Projekte hatte dadurch bereits 60.000 Commits, obwohl es erst im März 2025 erstellt worden war.
Schadenfreude mit Grenzen
Obwohl sich ein Großteil der Backdoors gegen betrügerische Gamer und Cyberkriminelle zu richten schien, mahnen die Sophos-Forscher zur Vorsicht. So seien etwa auch andere experimentierfreudige Personen mit großem Interesse an Softwareprojekten sowie auch Sicherheitsforscher, die aus beruflichen Gründen hin und wieder Malware herunterladen und ausführen, gefährdet.
"Wir haben bereits früher über Cyberkriminelle, die sich gegenseitig angreifen, berichtet, und obwohl dies eine gewisse Schadenfreude mit sich bringt, bedeutet es nicht, dass niemand sonst gefährdet ist", mahnt das Forschungsteam. Bei der Verwendung von Softwareprojekten aus unbekannten Quellen ist also Vorsicht geboten.
Dass Scriptkiddies auf Fake-Malware reinfallen, ist keine Seltenheit. Sicherheitsforscher von CloudSEK deckten schon im Januar eine Kampagne auf, bei der Tausende unerfahrener Cyberakteure einem Fake-Malware-Builder aufgelaufen waren. Im vergangenen Jahr brachten zudem zwei Forscher einen Fake-Ransomware-Builder mit einer Backdoor in Umlauf, der mehr als 100-mal ausgeführt wurde.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.