techleakszone 🔥 22 Visites

Les développeurs recherchent une collaboration sur des projets GitHub distincts : une invitation à innover

Les développeurs recherchent une collaboration sur des projets GitHub distincts : une invitation à innover

Menace émergente de logiciels malveillants : StealC exploite GitHub pour la distribution

Dans le cadre d'une évolution alarmante dans le paysage de la cybersécurité, des rapports ont fait surface concernant une nouvelle campagne de logiciels malveillants exploitant GitHub pour distribuer des logiciels malveillants. La campagne, baptisée « StealC », a attiré l'attention de nombreux professionnels de la cybersécurité, les incitant à enquêter sur ses implications tant pour les utilisateurs que pour les développeurs.

Premières découvertes

Le 7 juillet, deux personnes nous ont contacté concernant des activités suspectes sur des projets GitHub distincts. L'un d'eux, identifié comme "Tito", a partagé un message direct concernant un commentaire prétendant fournir un correctif pour un projet appelé "synara". Pendant ce temps, « Robert Z » a signalé une activité similaire sur un autre référentiel GitHub. Les deux cas ont indiqué un modèle automatisé dans lequel les utilisateurs proposaient apparemment des correctifs qui étaient, en réalité, secrètement malveillants.

Modèles et tendances courants

En examinant plusieurs rapports et fichiers associés à cette tendance, les chercheurs ont noté que plusieurs fichiers de correctifs avec des conventions de dénomination similaires ont émergé. Ceux-ci incluent :

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

Malgré les nuances humoristiques des rapports originaux, la réalité est bien plus grave. Ces fichiers, bien que présentés comme des correctifs inoffensifs, contiennent des logiciels malveillants conçus pour compromettre les systèmes des utilisateurs.

Analyse technique des logiciels malveillants

La charge malveillante cachée dans ces fichiers est principalement développée dans Go, un langage de programmation connu pour son efficacité et sa rapidité. Une fois activé, le logiciel malveillant effectue une série d'actions, notamment l'interrogation d'un hôte distant qui aboutit finalement à un service Telegram. Cette approche permet aux développeurs de logiciels malveillants de maintenir une infrastructure flexible, car ils peuvent facilement modifier la description du canal Telegram pour rediriger les utilisateurs vers de nouveaux sites d'exfiltration si leurs domaines d'origine sont supprimés.

Mécanismes d'exfiltration

Le mécanisme ressemble à un résolveur DNS rudimentaire dans lequel le malware accède à un canal Telegram pour obtenir les instructions et les données nécessaires. Compte tenu des politiques apparemment indulgentes de Telegram concernant les utilisateurs et le contenu, il est probable que cette plateforme serve de refuge temporaire aux acteurs malveillants. Cette caractéristique améliore la longévité et l'efficacité de la campagne.

Informations tirées des résultats

L'émergence de StealC souligne un changement notable dans les tactiques de distribution de logiciels malveillants. S'appuyer sur des interactions automatisées via GitHub élargit non seulement la portée des infections potentielles, mais permet également aux auteurs d'exploiter la confiance qui entoure les plateformes de codage collaboratif. L'intégration de Telegram comme canal de communication complique encore les efforts visant à atténuer les risques associés à ce vecteur d'attaque.

Conclusion

Alors que les nouvelles campagnes de malware comme StealC continuent d'évoluer, il est impératif que les développeurs et les utilisateurs fassent preuve de prudence lorsqu'ils utilisent des plateformes open source telles que GitHub. La connaissance de ces tactiques et des implications de correctifs apparemment inoffensifs est cruciale pour se prémunir contre les infections potentielles. Les professionnels de la cybersécurité devront rester vigilants en surveillant ces tendances et en mettant en œuvre des mesures pour sensibiliser les utilisateurs afin qu'ils ne deviennent pas la proie de tels systèmes malveillants.

Résumé des résultats

Aspect Détails Nom de la campagne StealC Date de détection initiale 7 juillet 2023 Méthode de distribution Commentaires malveillants sur GitHub Langage de programmation Partez Canal de communication Télégramme Caractéristiques Réclamations de correctifs automatisées, modifications rapides des descripteurs de canal

En conclusion, la campagne StealC illustre une utilisation astucieuse de plates-formes légitimes à des fins malveillantes, ce qui nécessite un examen et une vigilance accrus de la part de la communauté technologique.



Hier, deux personnes différentes m'ont contacté au sujet de deux projets différents sur GitHub. "Tito" m'a envoyé un message privé à propos de quelqu'un qui a fait un commentaire sur GitHub prétendant avoir un correctif pour "synara" (Image 1) "Robert Z" a envoyé un e-mail à propos de quelque chose de similaire sur un autre projet GitHub (image 2). Intéressant. Après une enquête plus approfondie, il s'avère que ce fichier exact a été découvert en ligne et nommé : - hb_patch_v1112 - registre_patch_v0.1.7 - rep_fix_v1.zip - sodium_fix_v1 -log_fix_patch bla bla bla (image 3) Fondamentalement, quelqu'un crée des comptes sur GitHub, va ouvrir des problèmes et laisser un commentaire disant qu'il a trouvé un correctif (c'est probablement automatisé, mais peu importe). Le correctif est un malware. Il semble que cette campagne ait commencé vers le 7 juillet (hier) et fasse son chemin assez rapidement. Quand vous regardez à l’intérieur (héhé référence idiote), c’est un programme écrit en Go. Lorsque le binaire explose, il interroge un hôte distant qui se résout en... Telegram. La description de la chaîne Telegram spécifie un site Web. Le site Web dans la description du télégramme est également l'endroit où la charge utile exfiltre le code. Ils procèdent de cette façon car ils peuvent rapidement modifier la description de la chaîne Telegram si le site Web qu'ils spécifient est supprimé. Il s'agit essentiellement d'un résolveur DNS bootleg (image 4). Quoi qu'il en soit, il s'agit de StealC (basé sur les identifiants YARA). Il s'agit (probablement) d'une nouvelle campagne de malware menée par quelqu'un utilisant StealC. J'aime ça. Utilisation très intéressante du spam GitHub combinée à un résolveur DNS bootleg sur Telegram. Cela aide probablement car je doute que Telegram soit prompt à réagir aux demandes de retrait. Hier, deux personnes différentes m'ont contacté au sujet de deux projets différents sur GitHub. "Tito" m'a envoyé un message privé à propos de quelqu'un qui a fait un commentaire sur GitHub prétendant avoir un correctif pour "synara" (Image 1) "Robert Z" a envoyé un e-mail à propos de quelque chose de similaire sur un autre projet GitHub (image 2). Intéressant. Après une enquête plus approfondie, il s'avère que ce fichier exact a été découvert en ligne et nommé : - hb_patch_v1112 - registre_patch_v0.1.7 - rep_fix_v1.zip - sodium_fix_v1 -log_fix_patch bla bla bla (image 3) Fondamentalement, quelqu'un crée des comptes sur GitHub, va ouvrir des problèmes et laisser un commentaire disant qu'il a trouvé un correctif (c'est probablement automatisé, mais peu importe). Le correctif est un malware. Il semble que cette campagne ait commencé vers le 7 juillet (hier) et fasse son chemin assez rapidement. Quand vous regardez à l’intérieur (héhé référence idiote), c’est un programme écrit en Go. Lorsque le binaire explose, il interroge un hôte distant qui se résout en... Telegram. La description de la chaîne Telegram spécifie un site Web. Le site Web dans la description du télégramme est également l'endroit où la charge utile exfiltre le code. Ils procèdent de cette façon car ils peuvent rapidement modifier la description de la chaîne Telegram si le site Web qu'ils spécifient est supprimé. Il s'agit essentiellement d'un résolveur DNS bootleg (image 4). Quoi qu'il en soit, il s'agit de StealC (basé sur les identifiants YARA). Il s'agit (probablement) d'une nouvelle campagne de malware menée par quelqu'un utilisant StealC. J'aime ça. Utilisation très intéressante du spam GitHub combinée à un résolveur DNS bootleg sur Telegram. Cela aide probablement car je doute que Telegram soit prompt à réagir aux demandes de retrait.