Zwei unterschiedliche GitHub-Projekte wecken das Interesse unabhängiger Mitwirkender

Neue Malware-Kampagne nutzt GitHub zur Verbreitung aus
Bei einem bemerkenswerten Vorfall, der gestern gemeldet wurde, meldeten sich zwei Personen unabhängig voneinander wegen verdächtiger Aktivitäten in verschiedenen GitHub-Projekten. „Tito“ meldete sich per Direktnachricht wegen eines Kommentars, in dem behauptet wurde, es gäbe einen Patch für „synara“, während „Robert Z“ ähnliche Bedenken bezüglich eines anderen Projekts äußerte. Beide Fälle verdeutlichen einen alarmierenden Trend in der Cybersicherheit – eine aufkommende Malware-Kampagne, die GitHub als Vertriebsplattform nutzt.
Anatomie der Bedrohung
Eine eingehendere Untersuchung ergab, dass mehrere mit dieser Malware in Zusammenhang stehende Dateien online aufgetaucht sind, alle mit unterschiedlichen Namen, darunter:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Es scheint, dass eine Einzelperson oder eine Gruppe Konten auf GitHub erstellt, um sich an einer scheinbar harmlosen Aktivität zu beteiligen – offene Probleme mit der Behauptung zu kommentieren, einen Patch gefunden zu haben. Bei näherer Betrachtung stellt sich jedoch heraus, dass diese Patches schädlicher Natur sind.
Zeitleiste und technische Einblicke
Diese Kampagne scheint um den 7. Juli 2023 herum begonnen zu haben, gewann schnell an Bedeutung und verbreitete sich über verschiedene Kanäle. Die Malware selbst ist ein in Go geschriebenes Programm. Bei der Ausführung stellt die Binärdatei eine Verbindung zu einem Remote-Host her, der mit Telegram verknüpft ist.
Noch wichtiger ist, dass der mit der Malware verknüpfte Telegram-Kanal eine Beschreibung enthält, die eine Website angibt. Der Zweck dieser Website besteht darin, der Nutzlast das Herausfiltern von Daten zu ermöglichen. Diese Methodik ermöglicht es den Tätern, sich schnell anzupassen; Sollte die angegebene Website entfernt werden, können sie die Beschreibung des Telegram-Kanals mühelos ändern, um auf eine neue Adresse umzuleiten. Im Wesentlichen wird dadurch ein provisorischer DNS-Resolver erstellt, um ihre Vorgänge zu erleichtern.
Identifizierung der Malware: StealC
Laut YARA-Identifikatoren wird diese neue Bedrohung als „StealC“ identifiziert, was auf ihre beabsichtigte Funktion hinweist – den Diebstahl von Informationen. Diese adaptive Strategie, die GitHub-Spam-Taktiken zusammen mit einem provisorischen DNS-Resolver über Telegram nutzt, stellt einen neuartigen Ansatz im Bereich der Cyberkriminalität dar. Die Nutzung von Telegram als Hosting-Plattform für Befehls- und Kontrolloperationen stellt einzigartige Herausforderungen dar; Die Plattform reagiert bekanntermaßen langsam auf Deaktivierungsanfragen, was die Angreifer ermutigt.
Schlussfolgerung
Der Aufstieg dieser Malware-Kampagne unterstreicht die komplizierte Art und Weise, wie böswillige Einheiten legitime Plattformen ausnutzen, um Benutzersysteme zu infiltrieren. Die Integration von GitHub, typischerweise einer Drehscheibe für Softwareentwicklung und Zusammenarbeit, in solch schändliche Aktivitäten markiert einen besorgniserregenden Trend für Entwickler und Sicherheitsexperten gleichermaßen. Wachsam zu bleiben und die Zusammenarbeit zwischen Cybersicherheitsexperten zu fördern, wird in Zukunft von entscheidender Bedeutung sein, um Bedrohungen wie diese einzudämmen.
Gestern haben mich zwei verschiedene Personen wegen zwei verschiedener Projekte auf GitHub kontaktiert. „Tito“ schickt mir eine Direktnachricht über jemanden, der auf GitHub einen Kommentar abgegeben hat und behauptet, dass es einen Patch für „synara“ gibt (Bild 1) „Robert Z“ schickte eine E-Mail über etwas Ähnliches zu einem anderen GitHub-Projekt (Bild 2). Interessant. Bei weiteren Untersuchungen stellte sich heraus, dass genau diese Datei online entdeckt wurde und den Namen hat: - hb_patch_v1112 - Registry_patch_v0.1.7 - rep_fix_v1.zip -odium_fix_v1 - log_fix_patch bla bla bla (Bild 3) Im Grunde erstellt jemand Konten auf GitHub, öffnet Probleme und hinterlässt einen Kommentar, in dem er sagt, dass er einen Patch gefunden hat (es ist wahrscheinlich automatisiert, aber was auch immer). Bei dem Patch handelt es sich um Schadsoftware. Es scheint, dass diese Kampagne etwa am 7. Juli (gestern) begonnen hat und ziemlich schnell ihre Runde macht. Wenn man hineinschaut (hehe, dumme Referenz), handelt es sich um ein in Go geschriebenes Programm. Wenn die Binärdatei explodiert, fragt sie einen Remote-Host ab, der zu ... Telegram auflöst. Die Beschreibung des Telegram-Kanals gibt eine Website an. Auf der Website in der Telegram-Beschreibung exfiltriert die Nutzlast ebenfalls Code. Sie machen es auf diese Weise, weil sie die Beschreibung des Telegram-Kanals schnell ändern können, wenn die von ihnen angegebene Website entfernt wird. Es handelt sich im Grunde um einen Bootleg-DNS-Resolver (Bild 4). Wie auch immer, das ist StealC (basierend auf YARA-Identifikatoren). Dies ist (wahrscheinlich) eine neue Malware-Kampagne von jemandem, der StealC verwendet. Mir gefällt es. Sehr coole Verwendung von GitHub-Spam in Kombination mit einem gefälschten DNS-Resolver auf Telegram. Es hilft wahrscheinlich, weil ich bezweifle, dass Telegram bei Deaktivierungsanfragen schnell reagiert. Gestern haben mich zwei verschiedene Personen wegen zwei verschiedener Projekte auf GitHub kontaktiert. „Tito“ schickt mir eine Direktnachricht über jemanden, der auf GitHub einen Kommentar abgegeben hat und behauptet, dass es einen Patch für „synara“ gibt (Bild 1) „Robert Z“ schickte eine E-Mail über etwas Ähnliches zu einem anderen GitHub-Projekt (Bild 2). Interessant. Bei weiteren Untersuchungen stellte sich heraus, dass genau diese Datei online entdeckt wurde und den Namen hat: - hb_patch_v1112 - Registry_patch_v0.1.7 - rep_fix_v1.zip -odium_fix_v1 - log_fix_patch bla bla bla (Bild 3) Im Grunde erstellt jemand Konten auf GitHub, öffnet Probleme und hinterlässt einen Kommentar, in dem er sagt, dass er einen Patch gefunden hat (es ist wahrscheinlich automatisiert, aber was auch immer). Bei dem Patch handelt es sich um Schadsoftware. Es scheint, dass diese Kampagne etwa am 7. Juli (gestern) begonnen hat und ziemlich schnell ihre Runde macht. Wenn man hineinschaut (hehe, dumme Referenz), handelt es sich um ein in Go geschriebenes Programm. Wenn die Binärdatei explodiert, fragt sie einen Remote-Host ab, der zu ... Telegram auflöst. Die Beschreibung des Telegram-Kanals gibt eine Website an. Auf der Website in der Telegram-Beschreibung exfiltriert die Nutzlast ebenfalls Code. Sie machen es auf diese Weise, weil sie die Beschreibung des Telegram-Kanals schnell ändern können, wenn die von ihnen angegebene Website entfernt wird. Es handelt sich im Grunde um einen Bootleg-DNS-Resolver (Bild 4). Wie auch immer, das ist StealC (basierend auf YARA-Identifikatoren). Dies ist (wahrscheinlich) eine neue Malware-Kampagne von jemandem, der StealC verwendet. Mir gefällt es. Sehr coole Verwendung von GitHub-Spam in Kombination mit einem gefälschten DNS-Resolver auf Telegram. Es hilft wahrscheinlich, weil ich bezweifle, dass Telegram bei Deaktivierungsanfragen schnell reagiert.
TechOffice