techleakszone 🔥 24 Besuche

Gestern erreichten mich Anfragen von zwei verschiedenen Personen zu unterschiedlichen Projekten auf GitHub

Gestern erreichten mich Anfragen von zwei verschiedenen Personen zu unterschiedlichen Projekten auf GitHub

Neue Malware-Kampagne auf GitHub entdeckt: Gefahr durch falsche Patches

Gestern erhielt ich zwei Meldungen von unterschiedlichen Personen über zwei separate Projekte auf GitHub. Tito nahm via Direktnachricht Kontakt auf und berichtete von einem Kommentar zu einem Patches für synara. Robert Z sendete eine E-Mail zu einem ähnlichen Vorfall in einem anderen GitHub-Projekt. Diese Entwicklungen zeigen ein interessantes und alarmierendes Muster.

Die Hintergründe der Entdeckung

Bei meiner weiteren Untersuchung stellte sich heraus, dass eine Reihe von Dateien im Internet entdeckt wurde, die als potenzielle Patches angepriesen werden:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

Offensichtlich erstellt jemand neue Konten auf GitHub, öffnet Issues und hinterlässt Kommentare, in denen behauptet wird, dass sie einen Patch gefunden hätten. Es ist wahrscheinlich, dass dies automatisiert geschieht. Leider handelt es sich bei diesen Patches um Malware.

Die Malware-Kampagne

Es scheint, dass diese Kampagne am 7. Juli 2023 ihren Anfang nahm und sich schnell verbreitet. Ein Blick in die Dateien zeigt, dass es sich um ein in der Programmiersprache Go geschriebenes Programm handelt. Wenn die Binary aktiviert wird, kontaktiert sie einen externen Host, der zu ... Telegram führt.

Technik der Exfiltration

In der Beschreibung des Telegram-Kanals wird eine Website angegeben. Diese Website dient als Ziel, um den abgezogenen Code zu exfiltrieren. Diese Methode bietet den Angreifern die Möglichkeit, die Beschreibung des Telegram-Kanals schnell zu ändern, falls die angegebene Website heruntergenommen wird. Funktionell agiert dies wie ein inoffizieller DNS-Resolver.

Zusammenfassung der Angriffe

Dateiname Beschreibung
hb_patch_v1112 Behaupteter Patch
registry_patch_v0.1.7 Behaupteter Patch
rep_fix_v1.zip Behaupteter Patch
sodium_fix_v1 Behaupteter Patch
log_fix_patch Behaupteter Patch

Schlussfolgerung

Die verwendete Technik in dieser neuartigen Malware-Kampagne, die als StealC identifiziert wurde (basierend auf YARA-Identifiers), zeigt eine bemerkenswerte Kreativität bei der Nutzung von GitHub und Telegram. Diese Kombination aus Spam-Aktionen auf GitHub und einem inoffiziellen DNS-Resolver auf Telegram könnte sich als besonders problematisch erweisen, insbesondere da Telegram möglicherweise nicht schnell auf entsprechende Abmahneingaben reagiert. Es ist wichtig, weiterhin wachsam zu sein und Benutzer über die Gefahren solcher Malware-Angriffe aufzuklären.