该攻击活动率先由 teloxide rust 库的一名贡献人员报告，他在Reddit 论坛上指出在 GitHub issue 中收到了五个试图伪装成修复方案的不同评论，但它们实际上在推送恶意软件。

BleepingComputer 审计发现，数千个类似评论发布在大量 GitHub 项目中，所有的评论都是对其他人问题提供的虚假修复方案。他们在回复中要求从 mediafire.com 或通过 bit.ly URL来下载受密码保护的文档，然后运行其中的可执行文件。在当前的攻击活动中，所有查看的评论中的密码都是 “changeme”。逆向工程师 Nicholas Sherlock 表示，在3天的时间里，超过2.9万个评论都在推送该恶意软件。

点击链接就会到达名为 “fix.zip” 的下载页面，其中包含一些 DLL 文件以及一份可执行文件 “x86_64-w64-ranlib.exe”。在 Any.Run 上运行该可执行文件显示，它就是 Lumma Stealer 信息窃取恶意软件。

Lumma Stealer 是一款高阶信息窃取器，在被执行时会尝试窃取 cookies、凭据、密码、信用卡并从Chrome、Edge、Firefox和其它 Chromium 浏览器中浏览历史。

该恶意软件还可窃取密币钱包、私钥和文本文件，而这些文本文件的名称包括：seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt 和 *.pdf，它们更可能包含私钥和密码。这些数据被收集到一份文档中并发回给攻击者，供他们执行更多攻击或在网络犯罪市场出售。

虽然 GitHub 员工在检测到这些评论后就一直在删除，但已经有人表示受陷。不慎启动该恶意软件的任何人都应该修改所有账户的密码，为每个站点使用唯一密码并将密币迁移到新钱包。

上个月，Check Point 研究团队披露了一起由 Stargazer Boblin 组织发动的类似攻击活动，后者利用GitHub上超过3000个虚假账户创建了一个恶意软件分发即服务，推送信息窃取恶意软件。

目前尚不清楚二者是否存在关联。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~