GitHub 评论被滥用于推送密码窃取恶意软件
2024-9-3 17:8:18 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

恶意人员将 Lumma Stealer 信息窃取恶意软件伪装成GitHub项目评论中的虚假修复方案进行传播。

该攻击活动率先由 teloxide rust 库的一名贡献人员报告,他在Reddit 论坛上指出在 GitHub issue 中收到了五个试图伪装成修复方案的不同评论,但它们实际上在推送恶意软件。

BleepingComputer 审计发现,数千个类似评论发布在大量 GitHub 项目中,所有的评论都是对其他人问题提供的虚假修复方案。他们在回复中要求从 mediafire.com 或通过 bit.ly URL来下载受密码保护的文档,然后运行其中的可执行文件。在当前的攻击活动中,所有查看的评论中的密码都是 “changeme”。逆向工程师 Nicholas Sherlock 表示,在3天的时间里,超过2.9万个评论都在推送该恶意软件。

点击链接就会到达名为 “fix.zip” 的下载页面,其中包含一些 DLL 文件以及一份可执行文件 “x86_64-w64-ranlib.exe”。在 Any.Run 上运行该可执行文件显示,它就是 Lumma Stealer 信息窃取恶意软件。

Lumma Stealer 是一款高阶信息窃取器,在被执行时会尝试窃取 cookies、凭据、密码、信用卡并从Chrome、Edge、Firefox和其它 Chromium 浏览器中浏览历史。

该恶意软件还可窃取密币钱包、私钥和文本文件,而这些文本文件的名称包括:seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt 和 *.pdf,它们更可能包含私钥和密码。这些数据被收集到一份文档中并发回给攻击者,供他们执行更多攻击或在网络犯罪市场出售。

虽然 GitHub 员工在检测到这些评论后就一直在删除,但已经有人表示受陷。不慎启动该恶意软件的任何人都应该修改所有账户的密码,为每个站点使用唯一密码并将密币迁移到新钱包。

上个月,Check Point 研究团队披露了一起由 Stargazer Boblin 组织发动的类似攻击活动,后者利用GitHub上超过3000个虚假账户创建了一个恶意软件分发即服务,推送信息窃取恶意软件。

目前尚不清楚二者是否存在关联。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

GitHub Enterprise Server 中存在严重的认证漏洞

存疑 CVE 漏洞带来无谓压力 热门开源项目开发者归档 GitHub 仓库

GitHub 仓库遭勒索攻击

GitHub 企业服务器中存在严重漏洞,可导致认证绕过

GitHub 评论被滥用于推送恶意软件

原文链接

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520653&idx=2&sn=985604e150b5d7056b6fc8994a7e1bf0&chksm=ea94a0e7dde329f19ea69d43025aac5fd29c4f7b03d47cc44b7c546409395353a6670156ed7f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh