techleakszone 🔥 20 Besuche

Zwei unterschiedliche GitHub-Projekte wecken das Interesse unabhängiger Mitwirkender

Zwei unterschiedliche GitHub-Projekte wecken das Interesse unabhängiger Mitwirkender

Neue Malware-Kampagne nutzt GitHub zur Verbreitung aus

Bei einem bemerkenswerten Vorfall, der gestern gemeldet wurde, meldeten sich zwei Personen unabhängig voneinander wegen verdächtiger Aktivitäten in verschiedenen GitHub-Projekten. „Tito“ meldete sich per Direktnachricht wegen eines Kommentars, in dem behauptet wurde, es gäbe einen Patch für „synara“, während „Robert Z“ ähnliche Bedenken bezüglich eines anderen Projekts äußerte. Beide Fälle verdeutlichen einen alarmierenden Trend in der Cybersicherheit – eine aufkommende Malware-Kampagne, die GitHub als Vertriebsplattform nutzt.

Anatomie der Bedrohung

Eine eingehendere Untersuchung ergab, dass mehrere mit dieser Malware in Zusammenhang stehende Dateien online aufgetaucht sind, alle mit unterschiedlichen Namen, darunter:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

Es scheint, dass eine Einzelperson oder eine Gruppe Konten auf GitHub erstellt, um sich an einer scheinbar harmlosen Aktivität zu beteiligen – offene Probleme mit der Behauptung zu kommentieren, einen Patch gefunden zu haben. Bei näherer Betrachtung stellt sich jedoch heraus, dass diese Patches schädlicher Natur sind.

Dateiname Beschreibung hb_patch_v1112 Potenzielle mit der Kampagne verknüpfte Malware-Datei registry_patch_v0.1.7 Schädlicher Patch für Registrierungsänderungen rep_fix_v1.zip Verdächtige Zip-Datei mit potenziell schädlichem Code sodium_fix_v1 Unbekannter Patch, der wahrscheinlich mit Malware-Aktivitäten in Zusammenhang steht log_fix_patch Datei scheint infektiös zu sein

Zeitleiste und technische Einblicke

Diese Kampagne scheint um den 7. Juli 2023 herum begonnen zu haben, gewann schnell an Bedeutung und verbreitete sich über verschiedene Kanäle. Die Malware selbst ist ein in Go geschriebenes Programm. Bei der Ausführung stellt die Binärdatei eine Verbindung zu einem Remote-Host her, der mit Telegram verknüpft ist.

Noch wichtiger ist, dass der mit der Malware verknüpfte Telegram-Kanal eine Beschreibung enthält, die eine Website angibt. Der Zweck dieser Website besteht darin, der Nutzlast das Herausfiltern von Daten zu ermöglichen. Diese Methodik ermöglicht es den Tätern, sich schnell anzupassen; Sollte die angegebene Website entfernt werden, können sie die Beschreibung des Telegram-Kanals mühelos ändern, um auf eine neue Adresse umzuleiten. Im Wesentlichen wird dadurch ein provisorischer DNS-Resolver erstellt, um ihre Vorgänge zu erleichtern.

Identifizierung der Malware: StealC

Laut YARA-Identifikatoren wird diese neue Bedrohung als „StealC“ identifiziert, was auf ihre beabsichtigte Funktion hinweist – den Diebstahl von Informationen. Diese adaptive Strategie, die GitHub-Spam-Taktiken zusammen mit einem provisorischen DNS-Resolver über Telegram nutzt, stellt einen neuartigen Ansatz im Bereich der Cyberkriminalität dar. Die Nutzung von Telegram als Hosting-Plattform für Befehls- und Kontrolloperationen stellt einzigartige Herausforderungen dar; Die Plattform reagiert bekanntermaßen langsam auf Deaktivierungsanfragen, was die Angreifer ermutigt.

Schlussfolgerung

Der Aufstieg dieser Malware-Kampagne unterstreicht die komplizierte Art und Weise, wie böswillige Einheiten legitime Plattformen ausnutzen, um Benutzersysteme zu infiltrieren. Die Integration von GitHub, typischerweise einer Drehscheibe für Softwareentwicklung und Zusammenarbeit, in solch schändliche Aktivitäten markiert einen besorgniserregenden Trend für Entwickler und Sicherheitsexperten gleichermaßen. Wachsam zu bleiben und die Zusammenarbeit zwischen Cybersicherheitsexperten zu fördern, wird in Zukunft von entscheidender Bedeutung sein, um Bedrohungen wie diese einzudämmen.



Gestern haben mich zwei verschiedene Personen wegen zwei verschiedener Projekte auf GitHub kontaktiert. „Tito“ schickt mir eine Direktnachricht über jemanden, der auf GitHub einen Kommentar abgegeben hat und behauptet, dass es einen Patch für „synara“ gibt (Bild 1) „Robert Z“ schickte eine E-Mail über etwas Ähnliches zu einem anderen GitHub-Projekt (Bild 2). Interessant. Bei weiteren Untersuchungen stellte sich heraus, dass genau diese Datei online entdeckt wurde und den Namen hat: - hb_patch_v1112 - Registry_patch_v0.1.7 - rep_fix_v1.zip -odium_fix_v1 - log_fix_patch bla bla bla (Bild 3) Im Grunde erstellt jemand Konten auf GitHub, öffnet Probleme und hinterlässt einen Kommentar, in dem er sagt, dass er einen Patch gefunden hat (es ist wahrscheinlich automatisiert, aber was auch immer). Bei dem Patch handelt es sich um Schadsoftware. Es scheint, dass diese Kampagne etwa am 7. Juli (gestern) begonnen hat und ziemlich schnell ihre Runde macht. Wenn man hineinschaut (hehe, dumme Referenz), handelt es sich um ein in Go geschriebenes Programm. Wenn die Binärdatei explodiert, fragt sie einen Remote-Host ab, der zu ... Telegram auflöst. Die Beschreibung des Telegram-Kanals gibt eine Website an. Auf der Website in der Telegram-Beschreibung exfiltriert die Nutzlast ebenfalls Code. Sie machen es auf diese Weise, weil sie die Beschreibung des Telegram-Kanals schnell ändern können, wenn die von ihnen angegebene Website entfernt wird. Es handelt sich im Grunde um einen Bootleg-DNS-Resolver (Bild 4). Wie auch immer, das ist StealC (basierend auf YARA-Identifikatoren). Dies ist (wahrscheinlich) eine neue Malware-Kampagne von jemandem, der StealC verwendet. Mir gefällt es. Sehr coole Verwendung von GitHub-Spam in Kombination mit einem gefälschten DNS-Resolver auf Telegram. Es hilft wahrscheinlich, weil ich bezweifle, dass Telegram bei Deaktivierungsanfragen schnell reagiert. Gestern haben mich zwei verschiedene Personen wegen zwei verschiedener Projekte auf GitHub kontaktiert. „Tito“ schickt mir eine Direktnachricht über jemanden, der auf GitHub einen Kommentar abgegeben hat und behauptet, dass es einen Patch für „synara“ gibt (Bild 1) „Robert Z“ schickte eine E-Mail über etwas Ähnliches zu einem anderen GitHub-Projekt (Bild 2). Interessant. Bei weiteren Untersuchungen stellte sich heraus, dass genau diese Datei online entdeckt wurde und den Namen hat: - hb_patch_v1112 - Registry_patch_v0.1.7 - rep_fix_v1.zip -odium_fix_v1 - log_fix_patch bla bla bla (Bild 3) Im Grunde erstellt jemand Konten auf GitHub, öffnet Probleme und hinterlässt einen Kommentar, in dem er sagt, dass er einen Patch gefunden hat (es ist wahrscheinlich automatisiert, aber was auch immer). Bei dem Patch handelt es sich um Schadsoftware. Es scheint, dass diese Kampagne etwa am 7. Juli (gestern) begonnen hat und ziemlich schnell ihre Runde macht. Wenn man hineinschaut (hehe, dumme Referenz), handelt es sich um ein in Go geschriebenes Programm. Wenn die Binärdatei explodiert, fragt sie einen Remote-Host ab, der zu ... Telegram auflöst. Die Beschreibung des Telegram-Kanals gibt eine Website an. Auf der Website in der Telegram-Beschreibung exfiltriert die Nutzlast ebenfalls Code. Sie machen es auf diese Weise, weil sie die Beschreibung des Telegram-Kanals schnell ändern können, wenn die von ihnen angegebene Website entfernt wird. Es handelt sich im Grunde um einen Bootleg-DNS-Resolver (Bild 4). Wie auch immer, das ist StealC (basierend auf YARA-Identifikatoren). Dies ist (wahrscheinlich) eine neue Malware-Kampagne von jemandem, der StealC verwendet. Mir gefällt es. Sehr coole Verwendung von GitHub-Spam in Kombination mit einem gefälschten DNS-Resolver auf Telegram. Es hilft wahrscheinlich, weil ich bezweifle, dass Telegram bei Deaktivierungsanfragen schnell reagiert.