聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该攻击活动率先由 teloxide rust 库的一名贡献人员报告,他在Reddit 论坛上指出在 GitHub issue 中收到了五个试图伪装成修复方案的不同评论,但它们实际上在推送恶意软件。
BleepingComputer 审计发现,数千个类似评论发布在大量 GitHub 项目中,所有的评论都是对其他人问题提供的虚假修复方案。他们在回复中要求从 mediafire.com 或通过 bit.ly URL来下载受密码保护的文档,然后运行其中的可执行文件。在当前的攻击活动中,所有查看的评论中的密码都是 “changeme”。逆向工程师 Nicholas Sherlock 表示,在3天的时间里,超过2.9万个评论都在推送该恶意软件。
点击链接就会到达名为 “fix.zip” 的下载页面,其中包含一些 DLL 文件以及一份可执行文件 “x86_64-w64-ranlib.exe”。在 Any.Run 上运行该可执行文件显示,它就是 Lumma Stealer 信息窃取恶意软件。
Lumma Stealer 是一款高阶信息窃取器,在被执行时会尝试窃取 cookies、凭据、密码、信用卡并从Chrome、Edge、Firefox和其它 Chromium 浏览器中浏览历史。
该恶意软件还可窃取密币钱包、私钥和文本文件,而这些文本文件的名称包括:seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt 和 *.pdf,它们更可能包含私钥和密码。这些数据被收集到一份文档中并发回给攻击者,供他们执行更多攻击或在网络犯罪市场出售。
虽然 GitHub 员工在检测到这些评论后就一直在删除,但已经有人表示受陷。不慎启动该恶意软件的任何人都应该修改所有账户的密码,为每个站点使用唯一密码并将密币迁移到新钱包。
上个月,Check Point 研究团队披露了一起由 Stargazer Boblin 组织发动的类似攻击活动,后者利用GitHub上超过3000个虚假账户创建了一个恶意软件分发即服务,推送信息窃取恶意软件。
目前尚不清楚二者是否存在关联。
GitHub Enterprise Server 中存在严重的认证漏洞
https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~