Neue Möglichkeiten der Zusammenarbeit enthüllt: Zwei einzigartige GitHub-Projekte wecken Interesse

Neue Malware-Kampagne nutzt GitHub zur Verbreitung aus
In einer besorgniserregenden Entwicklung in der Cybersicherheitslandschaft sind Berichte über eine neue Malware-Kampagne aufgetaucht, die GitHub als Vertriebsplattform nutzt. Diese Enthüllung folgt auf Mitteilungen aus zwei verschiedenen Quellen und hebt ähnliche Ergebnisse im Zusammenhang mit verschiedenen GitHub-Projekten hervor.
Erste Berichte und Entdeckung
Am 7. Juli meldeten zwei Personen – eine bekannt als „Tito“ und die andere als „Robert Z“ – verdächtige Aktivitäten im Zusammenhang mit GitHub. Titos Bedenken konzentrierten sich auf einen Kommentar zu einem Projekt mit dem Titel synara, in dem behauptet wurde, dass ein Patch entdeckt worden sei. In ähnlicher Weise zitierte Robert Z einen separaten Vorfall innerhalb eines anderen GitHub-Projekts. Beide Fälle erweckten Neugier und lösten Alarm hinsichtlich der Glaubwürdigkeit dieser angeblichen Patches aus.
Ermittlungsergebnisse
Eine genauere Untersuchung der Untersuchung ergab ein alarmierendes Muster. Dieselben Dateinamen wurden in mehreren Kontexten angezeigt, darunter:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Die Beweise deuten darauf hin, dass eine Einzelperson oder eine Gruppe automatisch Konten erstellt, um Kommentare zu offenen Problemen in verschiedenen Projekten abzugeben, und dabei fälschlicherweise behauptet, Patches für Software-Schwachstellen bereitzustellen. Besorgniserregend ist, dass es sich bei diesen sogenannten Patches tatsächlich um Malware handelt.
Die Struktur der Malware
Die Analyse ergab, dass die in diesen Kommentaren identifizierte Schadsoftware in Go geschrieben ist. Bei der Ausführung führt es eine Abfrage an einen Remote-Host durch, die in Telegram aufgelöst wird. Entscheidend ist, dass der mit diesem Host verknüpfte Telegram-Kanal einen Link zu einer bestimmten Website enthält, auf die die Malware-Payload ihre Exfiltrationsbemühungen umleitet.
Dynamische Verknüpfungs- und Ausweichtaktiken
Diese Betriebsmethode scheint strategisch auf sofortige Anpassungsfähigkeit ausgelegt zu sein. Durch die Beibehaltung einer dynamischen Telegram-Kanalbeschreibung können die Täter im Falle einer Deaktivierung den Website-Link problemlos ändern und so effektiv als provisorischen DNS-Resolver fungieren. Diese innovative, aber schändliche Taktik erschwert vorbeugende Maßnahmen und birgt das Risiko einer weiteren Verbreitung der Malware.
Identifizierung von StealC-Malware
Basierend auf YARA-Kennungen wurde die aktuelle Malware-Variante als StealC kategorisiert. Diese Enthüllung deutet auf eine mögliche Weiterentwicklung der cyberkriminellen Aktivitäten hin, bei der traditionelle GitHub-Spam-Techniken mit modernen Kommunikationskanälen wie Telegram kombiniert werden. Die Kampagne zeigt eine clevere, aber gefährliche Adaption zur Ausnutzung von Schwachstellen auf beiden Plattformen.
Die Implikationen und Reaktionen
Die Realität dieser aufkommenden Malware-Kampagne unterstreicht die Notwendigkeit erhöhter Wachsamkeit innerhalb der Entwicklergemeinschaft. Sowohl GitHub als auch Telegram müssen möglicherweise ihre gemeinsamen Bemühungen zur Benutzeraufklärung und proaktiven Deaktivierungsmechanismen intensivieren, um diese wachsende Bedrohung einzudämmen.
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass die Überschneidung der Malware-Verbreitung über Social-Coding-Plattformen und Messaging-Kanäle eine neue Herausforderung für die Cybersicherheit darstellt. Benutzer werden aufgefordert, bei der Interaktion mit Kommentaren oder herunterladbaren Inhalten auf GitHub Vorsicht walten zu lassen. Während sich diese Situation weiterentwickelt, werden eine verstärkte Prüfung und Sensibilisierung von entscheidender Bedeutung sein, um die sich entwickelnde Landschaft der Cyber-Bedrohungen zu bekämpfen.
Gestern haben mich zwei verschiedene Leute wegen zweier verschiedener Projekte auf GitHub kontaktiert. „Tito“ schickt mir eine Direktnachricht über jemanden, der auf GitHub einen Kommentar abgegeben hat und behauptet, dass es einen Patch für „synara“ gibt (Bild 1) „Robert Z“ schickte eine E-Mail über etwas Ähnliches zu einem anderen GitHub-Projekt (Bild 2). Interessant. Bei weiteren Untersuchungen stellte sich heraus, dass genau diese Datei online entdeckt wurde und den Namen hat: - hb_patch_v1112 - Registry_patch_v0.1.7 - rep_fix_v1.zip -odium_fix_v1 - log_fix_patch bla bla bla (Bild 3) Im Grunde erstellt jemand Konten auf GitHub, öffnet Probleme und hinterlässt einen Kommentar, in dem er sagt, dass er einen Patch gefunden hat (es ist wahrscheinlich automatisiert, aber was auch immer). Bei dem Patch handelt es sich um Schadsoftware. Es scheint, dass diese Kampagne etwa am 7. Juli (gestern) begonnen hat und ziemlich schnell ihre Runde macht. Wenn man hineinschaut (hehe, dumme Referenz), handelt es sich um ein in Go geschriebenes Programm. Wenn die Binärdatei explodiert, fragt sie einen Remote-Host ab, der zu ... Telegram auflöst. Die Beschreibung des Telegram-Kanals gibt eine Website an. Auf der Website in der Telegram-Beschreibung exfiltriert die Nutzlast ebenfalls Code. Sie machen es auf diese Weise, weil sie die Beschreibung des Telegram-Kanals schnell ändern können, wenn die von ihnen angegebene Website entfernt wird. Es handelt sich im Grunde um einen Bootleg-DNS-Resolver (Bild 4). Wie auch immer, das ist StealC (basierend auf YARA-Identifikatoren). Dies ist (wahrscheinlich) eine neue Malware-Kampagne von jemandem, der StealC verwendet. Mir gefällt es. Sehr coole Verwendung von GitHub-Spam in Kombination mit einem gefälschten DNS-Resolver auf Telegram. Es hilft wahrscheinlich, weil ich bezweifle, dass Telegram bei Deaktivierungsanfragen schnell reagiert. Gestern haben mich zwei verschiedene Personen wegen zwei verschiedener Projekte auf GitHub kontaktiert. „Tito“ schickt mir eine Direktnachricht über jemanden, der auf GitHub einen Kommentar abgegeben hat und behauptet, dass es einen Patch für „synara“ gibt (Bild 1) „Robert Z“ schickte eine E-Mail über etwas Ähnliches zu einem anderen GitHub-Projekt (Bild 2). Interessant. Bei weiteren Untersuchungen stellte sich heraus, dass genau diese Datei online entdeckt wurde und den Namen hat: - hb_patch_v1112 - Registry_patch_v0.1.7 - rep_fix_v1.zip -odium_fix_v1 - log_fix_patch bla bla bla (Bild 3) Im Grunde erstellt jemand Konten auf GitHub, öffnet Probleme und hinterlässt einen Kommentar, in dem er sagt, dass er einen Patch gefunden hat (es ist wahrscheinlich automatisiert, aber was auch immer). Bei dem Patch handelt es sich um Schadsoftware. Es scheint, dass diese Kampagne etwa am 7. Juli (gestern) begonnen hat und ziemlich schnell ihre Runde macht. Wenn man hineinschaut (hehe, dumme Referenz), handelt es sich um ein in Go geschriebenes Programm. Wenn die Binärdatei explodiert, fragt sie einen Remote-Host ab, der zu ... Telegram auflöst. Die Beschreibung des Telegram-Kanals gibt eine Website an. Auf der Website in der Telegram-Beschreibung exfiltriert die Nutzlast ebenfalls Code. Sie machen es auf diese Weise, weil sie die Beschreibung des Telegram-Kanals schnell ändern können, wenn die von ihnen angegebene Website entfernt wird. Es handelt sich im Grunde um einen Bootleg-DNS-Resolver (Bild 4). Wie auch immer, das ist StealC (basierend auf YARA-Identifikatoren). Dies ist (wahrscheinlich) eine neue Malware-Kampagne von jemandem, der StealC verwendet. Mir gefällt es. Sehr coole Verwendung von GitHub-Spam in Kombination mit einem gefälschten DNS-Resolver auf Telegram. Es hilft wahrscheinlich, weil ich bezweifle, dass Telegram bei Deaktivierungsanfragen schnell reagiert.
TechOffice