Gestern erreichten mich Anfragen von zwei verschiedenen Personen zu unterschiedlichen Projekten auf GitHub

Neue Malware-Kampagne auf GitHub entdeckt: Gefahr durch falsche Patches
Gestern erhielt ich zwei Meldungen von unterschiedlichen Personen über zwei separate Projekte auf GitHub. Tito nahm via Direktnachricht Kontakt auf und berichtete von einem Kommentar zu einem Patches für synara. Robert Z sendete eine E-Mail zu einem ähnlichen Vorfall in einem anderen GitHub-Projekt. Diese Entwicklungen zeigen ein interessantes und alarmierendes Muster.
Die Hintergründe der Entdeckung
Bei meiner weiteren Untersuchung stellte sich heraus, dass eine Reihe von Dateien im Internet entdeckt wurde, die als potenzielle Patches angepriesen werden:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Offensichtlich erstellt jemand neue Konten auf GitHub, öffnet Issues und hinterlässt Kommentare, in denen behauptet wird, dass sie einen Patch gefunden hätten. Es ist wahrscheinlich, dass dies automatisiert geschieht. Leider handelt es sich bei diesen Patches um Malware.
Die Malware-Kampagne
Es scheint, dass diese Kampagne am 7. Juli 2023 ihren Anfang nahm und sich schnell verbreitet. Ein Blick in die Dateien zeigt, dass es sich um ein in der Programmiersprache Go geschriebenes Programm handelt. Wenn die Binary aktiviert wird, kontaktiert sie einen externen Host, der zu ... Telegram führt.
Technik der Exfiltration
In der Beschreibung des Telegram-Kanals wird eine Website angegeben. Diese Website dient als Ziel, um den abgezogenen Code zu exfiltrieren. Diese Methode bietet den Angreifern die Möglichkeit, die Beschreibung des Telegram-Kanals schnell zu ändern, falls die angegebene Website heruntergenommen wird. Funktionell agiert dies wie ein inoffizieller DNS-Resolver.
Zusammenfassung der Angriffe
| Dateiname | Beschreibung |
|---|---|
| hb_patch_v1112 | Behaupteter Patch |
| registry_patch_v0.1.7 | Behaupteter Patch |
| rep_fix_v1.zip | Behaupteter Patch |
| sodium_fix_v1 | Behaupteter Patch |
| log_fix_patch | Behaupteter Patch |
Schlussfolgerung
Die verwendete Technik in dieser neuartigen Malware-Kampagne, die als StealC identifiziert wurde (basierend auf YARA-Identifiers), zeigt eine bemerkenswerte Kreativität bei der Nutzung von GitHub und Telegram. Diese Kombination aus Spam-Aktionen auf GitHub und einem inoffiziellen DNS-Resolver auf Telegram könnte sich als besonders problematisch erweisen, insbesondere da Telegram möglicherweise nicht schnell auf entsprechende Abmahneingaben reagiert. Es ist wichtig, weiterhin wachsam zu sein und Benutzer über die Gefahren solcher Malware-Angriffe aufzuklären.
TechOffice