Wer am Mac Software jenseits des Mac App Store installiert, kennt das Ritual: Datei herunterladen und entpacken, Ordner öffnen, das App-Icon auf den Ordner „Programme“ ziehen. Viele Entwickler erleichtern den Vorgang durch einen erklärenden Fensterhintergrund nebst Alias des lokalen Programme-Ordners. Bei einigen Downloads erscheint jedoch das Terminal-Icon anstelle des Programme-Ordners. In diesem Fall ist man kurz davor, einen schweren Fehler zu begehen: Der Download besteht aus Malware, anstatt einer App enthält er ein böswilliges Skript, erklärt Michael Tsai. Besonders problematisch wird dies durch den Ursprung: Oftmals stammen die fingierten Apps von GitHub, Microsofts angesehener Code-Sharing-Plattform.


Tsai wurde darauf aufmerksam, als seine App EagleFiler auf GitHub auftauchte. Bei ihm bestand der Trick noch darin, Anwender zum Kopieren und Einsetzen eines Kommandozeilenbefehls zu überreden. Die Masche, welche nun Verbreitung findet, geht einen Schritt weiter, um unbedarfte Anwender zu verwirren: Es gibt einen tatsächlichen Download, der mit der gewohnten Drag-&-Drop-Manier zur Anwendung kommt. Dies ist doppelt perfide: Zöge man eine App in den Programme-Ordner, würden Gatekeeper-Überprüfungsmechanismen greifen, bevor das Programm startet. Ein aufs Terminal gezogenes Skript umgeht derlei Mechanismen. Ganz so einfach ist es zum Glück nicht: Anwender müssen das Programm "Terminal" per Doppelklick öffnen, und dann das vermeintliche Programm daraufziehen. Wahrscheinlich folgen noch weitere Interaktionen innerhalb der Kommandozeile.


GitHub als Quelle schafft Vertrauen
Dass diese nachgebauten App-Downloads auf GitHub zum Download bereitstehen, macht das Ganze mehrfach problematisch: Die von Microsoft übernommene Plattform ist bei Entwicklern beliebt; viele Indie- und Open-Source-Entwickler nutzen die Website, um Quellcode und legitime Downloads zur Verfügung zu stellen. Das sorgt dafür, dass bei Google-Suchen ein gefälschtes Software-Projekt oftmals automatisch weit oben in den Suchergebnissen erscheint.

Augen auf beim Download
Während Microsoft mittlerweile aufpasst, dass keine Windows-Malware auf ihrer Plattform erscheint, scheinen Mac-Projekte weniger stark kontrolliert zu werden. Bei mehrfachen Hinweisen reagiert die Plattform allerdings und löscht Projekt und Account – oftmals ein Behelf auf Zeit: Nutzer können unbegrenzt neue Accounts anlegen, um ein einmal aufgedecktes Malware-Projekt wiederzubeleben. Derzeit bleibt nichts anderes übrig, als Nutzern die gebotene Vorsicht ans Herz zu legen:

• Legitimität der GitHub-Seite überprüfen: Verlinkt der Entwickler auf seiner Website zu diesem Projekt?
• Aktivität des Projekts: GitHub zeigt im Reiter "Insights" Informationen über die Aktivität rund um das Projekts an. Wählen Sie „Contributors“ aus, um einen Überblick zu erhalten. Hier offenbart sich oftmals auch, wie viele Autoren an einem Open-Source-Projekt mitarbeiten.
• Download anschauen: Die gefälschten Projekte sind oftmals deutlich kleiner, als man es von einer Mac-App erwarten könnte.
• Terminal: Kein legitimes Mac-Programm fordert einen Nutzer auf, die Kommandozeile zu bedienen, oder ein Icon darauf zu ziehen.