Zwei unterschiedliche GitHub-Projekte wecken gestern das Interesse verschiedener Kontakte

Neue GitHub-Malware-Kampagne unter Verwendung von StealC: Eine detaillierte Analyse
Die jüngsten Mitteilungen zweier unterschiedlicher Personen zu unterschiedlichen Projekten auf GitHub haben einen alarmierenden Trend offenbart. Der erste, identifiziert als „Tito“, meldete sich per Direktnachricht bezüglich eines Kommentars auf GitHub zu einem angeblichen Patch für „synara“. Der zweite, „Robert Z“ genannt, schickte eine E-Mail über eine ähnliche Situation mit einem anderen Projekt auf der Plattform. Diese Berichte führten zu einer eingehenderen Untersuchung, die eine allgegenwärtige Malware-Kampagne aufdeckte, die GitHub-Kommentare auf beunruhigend innovative Weise ausnutzte.
Übersicht über böswillige Aktivitäten
Bei der Untersuchung stellte sich heraus, dass mehrere mit Malware verknüpfte Dateien unter verschiedenen Namen online im Umlauf waren, darunter:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Diese Patches sind zu einem Vektor für die Verbreitung von Malware geworden, da Angreifer Konten auf GitHub erstellen, Kommentare zu offenen Problemen veröffentlichen und ahnungslose Entwickler davon überzeugen, dass sie eine echte Lösung gefunden haben. Dieses Verhalten scheint automatisiert zu sein, was zu einer schnellen Verbreitung der schädlichen Links führt.
Angriffslebenszyklus
Es wird angenommen, dass diese spezielle Kampagne am 7. Juli gestartet wurde. Bei der Methode handelt es sich um ein in Go geschriebenes Programm, das nach seiner Ausführung einen Remote-Host abfragt. In diesem Fall wird der Zielhost in einen Telegram-Kanal aufgelöst. Die Beschreibung dieses Telegram-Kanals bezieht sich auf eine Website, die als Endpunkt dient, an dem die Malware-Payload sensible Codes und Informationen herausfiltert.
Einer der strategischen Vorteile dieses Ansatzes ist die Möglichkeit für die Angreifer, die Beschreibung des Telegram-Kanals schnell zu ändern. Sollte die vorgesehene Website entfernt werden, können sie ohne nennenswerte Unterbrechung ihres Betriebs problemlos auf eine neue verweisen. Im Wesentlichen haben sie einen informellen DNS-Auflösungsmechanismus geschaffen, der Telegram als Relay-Punkt nutzt.
Identifikation und Merkmale
Sicherheitsanalysten haben diese Malware anhand von YARA-Kennungen als StealC identifiziert. Dies deutet darauf hin, dass es sich wahrscheinlich um eine Weiterentwicklung bestehender Malware-Technologien handelt, bei der möglicherweise neue Varianten eingeführt werden, um der Erkennung effektiv zu entgehen. Die kreative Verbindung von GitHub-Spam und der Verwendung eines gefälschten DNS-Resolvers auf Telegram zeigt fortschrittliche Taktiken, die darauf abzielen, Entwicklerressourcen zu untergraben.
Da Telegram traditionell nicht schnell auf Deaktivierungsanfragen reagiert, dient dieser Kanal als idealer Kommunikationsvektor für böswillige Akteure und ermöglicht ihnen längere Betriebszeiten, bevor sie gestört werden.
Schlussfolgerung
Die Enthüllung dieser Malware-Kampagne unterstreicht einen aufkommenden Trend bei Cyber-Bedrohungen, die etablierte Plattformen wie GitHub ausnutzen. Entwickler müssen vor unerwünschten Patches wachsam bleiben und die Herkunft aller heruntergeladenen Dateien überprüfen. Da sich die Landschaft der Cyber-Bedrohungen weiterentwickelt, ist es für die Tech-Community von entscheidender Bedeutung, bei der effektiven Identifizierung und Eindämmung dieser Risiken zusammenzuarbeiten.
Diese Situation ist ein Weckruf und erinnert uns daran, dass Wachsamkeit und proaktive Abwehrmechanismen im laufenden Kampf gegen Cyberkriminalität von größter Bedeutung sind.
Gestern haben mich zwei verschiedene Personen wegen zwei verschiedener Projekte auf GitHub kontaktiert. „Tito“ schickt mir eine Direktnachricht über jemanden, der auf GitHub einen Kommentar abgegeben hat und behauptet, dass es einen Patch für „synara“ gibt (Bild 1) „Robert Z“ schickte eine E-Mail über etwas Ähnliches zu einem anderen GitHub-Projekt (Bild 2). Interessant. Bei weiteren Untersuchungen stellte sich heraus, dass genau diese Datei online entdeckt wurde und den Namen hat: - hb_patch_v1112 - Registry_patch_v0.1.7 - rep_fix_v1.zip -odium_fix_v1 - log_fix_patch bla bla bla (Bild 3) Im Grunde erstellt jemand Konten auf GitHub, öffnet Probleme und hinterlässt einen Kommentar, in dem er sagt, dass er einen Patch gefunden hat (es ist wahrscheinlich automatisiert, aber was auch immer). Bei dem Patch handelt es sich um Schadsoftware. Es scheint, dass diese Kampagne etwa am 7. Juli (gestern) begonnen hat und ziemlich schnell ihre Runde macht. Wenn man hineinschaut (hehe, dumme Referenz), handelt es sich um ein in Go geschriebenes Programm. Wenn die Binärdatei explodiert, fragt sie einen Remote-Host ab, der zu ... Telegram auflöst. Die Beschreibung des Telegram-Kanals gibt eine Website an. Auf der Website in der Telegram-Beschreibung exfiltriert die Nutzlast ebenfalls Code. Sie machen es auf diese Weise, weil sie die Beschreibung des Telegram-Kanals schnell ändern können, wenn die von ihnen angegebene Website entfernt wird. Es handelt sich im Grunde um einen Bootleg-DNS-Resolver (Bild 4). Wie auch immer, das ist StealC (basierend auf YARA-Identifikatoren). Dies ist (wahrscheinlich) eine neue Malware-Kampagne von jemandem, der StealC verwendet. Mir gefällt es. Sehr coole Verwendung von GitHub-Spam in Kombination mit einem gefälschten DNS-Resolver auf Telegram. Es hilft wahrscheinlich, weil ich bezweifle, dass Telegram bei Deaktivierungsanfragen schnell reagiert. Gestern haben mich zwei verschiedene Personen wegen zwei verschiedener Projekte auf GitHub kontaktiert. „Tito“ schickt mir eine Direktnachricht über jemanden, der auf GitHub einen Kommentar abgegeben hat und behauptet, dass es einen Patch für „synara“ gibt (Bild 1) „Robert Z“ schickte eine E-Mail über etwas Ähnliches zu einem anderen GitHub-Projekt (Bild 2). Interessant. Bei weiteren Untersuchungen stellte sich heraus, dass genau diese Datei online entdeckt wurde und den Namen hat: - hb_patch_v1112 - Registry_patch_v0.1.7 - rep_fix_v1.zip -odium_fix_v1 - log_fix_patch bla bla bla (Bild 3) Im Grunde erstellt jemand Konten auf GitHub, öffnet Probleme und hinterlässt einen Kommentar, in dem er sagt, dass er einen Patch gefunden hat (es ist wahrscheinlich automatisiert, aber was auch immer). Bei dem Patch handelt es sich um Schadsoftware. Es scheint, dass diese Kampagne etwa am 7. Juli (gestern) begonnen hat und ziemlich schnell ihre Runde macht. Wenn man hineinschaut (hehe, dumme Referenz), handelt es sich um ein in Go geschriebenes Programm. Wenn die Binärdatei explodiert, fragt sie einen Remote-Host ab, der zu ... Telegram auflöst. Die Beschreibung des Telegram-Kanals gibt eine Website an. Auf der Website in der Telegram-Beschreibung exfiltriert die Nutzlast ebenfalls Code. Sie machen es auf diese Weise, weil sie die Beschreibung des Telegram-Kanals schnell ändern können, wenn die von ihnen angegebene Website entfernt wird. Es handelt sich im Grunde um einen Bootleg-DNS-Resolver (Bild 4). Wie auch immer, das ist StealC (basierend auf YARA-Identifikatoren). Dies ist (wahrscheinlich) eine neue Malware-Kampagne von jemandem, der StealC verwendet. Mir gefällt es. Sehr coole Verwendung von GitHub-Spam in Kombination mit einem gefälschten DNS-Resolver auf Telegram. Es hilft wahrscheinlich, weil ich bezweifle, dass Telegram bei Deaktivierungsanfragen schnell reagiert.
TechOffice