techleakszone 🔥 7 訪問数

2 つの異なる GitHub プロジェクトが独立系貢献者の関心を呼び起こす

2 つの異なる GitHub プロジェクトが独立系貢献者の関心を呼び起こす

GitHub を悪用した新たなマルウェア キャンペーン

昨日報告された注目すべきインシデントでは、2 人の個人が異なる GitHub プロジェクトにおける不審なアクティビティに関して個別に連絡を取りました。 「Tito」は「synara」のパッチがあると主張するコメントについてダイレクトメッセージで連絡し、「Robert Z」は別のプロジェクトに関して同様の懸念を共有しました。どちらの事件も、サイバーセキュリティにおける憂慮すべき傾向、つまり GitHub を配布プラットフォームとして利用する新たなマルウェア キャンペーンを浮き彫りにしています。

脅威の構造

より詳細な調査により、このマルウェアに関連するいくつかのファイルがオンラインで公開されており、すべて別個の名前が付けられていることが判明しました。

  • hb_patch_v1112
  • レジストリ_パッチ_v0.1.7
  • rep_fix_v1.zip
  • ナトリウム_fix_v1
  • log_fix_patch

個人またはグループが GitHub 上でアカウントを作成し、パッチが見つかったと主張して未解決の問題についてコメントするという、一見無害な活動に従事しているようです。しかし、さらに調査したところ、これらのパッチは本質的に悪意のあるものであることが判明しました。

ファイル名 説明 hb_patch_v1112 キャンペーンに関連する潜在的なマルウェア ファイル registry_patch_v0.1.7 レジストリ変更を目的とした悪意のあるパッチ rep_fix_v1.zip 有害なコードを含む不審な zip ファイル sodium_fix_v1 未知のパッチはマルウェア活動に関連している可能性があります log_fix_patch 感染性があると思われるファイル

タイムラインと技術的な洞察

このキャンペーンは 2023 年 7 月 7 日頃に始まったようで、急速に勢いを増し、さまざまなチャネルを通じて広がりました。マルウェア自体は Go で書かれたプログラムです。実行すると、バイナリは Telegram にリンクされたリモート ホストに接続します。

さらに重要なのは、マルウェアに関連付けられた Telegram チャネルに、Web サイトを指定する説明が含まれていることです。この Web サイトの目的は、ペイロードによるデータの漏洩を可能にすることです。この方法論により、加害者は迅速に適応することができます。指定された Web サイトが閉鎖された場合でも、Telegram チャネルの説明を簡単に変更して、新しいアドレスにリダイレクトできます。本質的に、これにより、運用を容易にするための即席の DNS リゾルバーが作成されます。

マルウェアの特定: StealC

YARA 識別子によると、この新たな脅威は「StealC」として識別され、情報を盗むという意図された機能を示唆しています。 GitHub のスパム戦術と Telegram を介した間に合わせの DNS リゾルバーを活用したこの適応戦略は、サイバー犯罪の分野における新しいアプローチを示しています。 Telegram を指揮統制操作のホスティング グラウンドとして使用すると、特有の課題が生じます。このプラットフォームは削除リクエストへの応答が遅いことで知られており、攻撃者を勇気づけています。

結論

このマルウェア キャンペーンの増加は、悪意のある組織が正規のプラットフォームを悪用してユーザー システムに侵入する複雑な方法を浮き彫りにしています。通常、ソフトウェア開発とコラボレーションのハブである GitHub がこのような悪質な活動に統合されることは、開発者とセキュリティ専門家の両方にとって憂慮すべき傾向を示しています。今後、このような脅威を軽減するには、常に警戒を怠らず、サイバーセキュリティ専門家間の協力を促進することが不可欠です。



昨日、2 人の異なる人から、GitHub 上の 2 つの異なるプロジェクトについて私に連絡がありました。 「Tito」は、GitHub で「synara」のパッチがあると主張するコメントをしている人について私に DM を送りました (画像 1) 「Robert Z」は、別の GitHub プロジェクトで同様のものについて電子メールを送信しました (画像 2)。 面白い。 さらに調査を進めたところ、このファイルが次の名前でオンラインで発見されたことが判明しました。 - hb_patch_v1112 - レジストリ_パッチ_v0.1.7 - rep_fix_v1.zip - ナトリウム_fix_v1 - log_fix_patch 何とかなんとか(画像3) 基本的に、誰かが GitHub でアカウントを作成し、問題をオープンし、パッチを見つけたというコメントを残しています (おそらく自動化されていますが、それは何でも)。パッチはマルウェアです。 このキャンペーンは 7 月 7 日(昨日)あたりから始まり、かなり急速に広まっているようです。 中身を見ると (ふふふ、くだらない参考資料です)、Go で書かれたプログラムです。バイナリが爆発すると、リモート ホストにクエリが実行され、... Telegram に解決されます。 Telegram チャネルの説明では Web サイトを指定します。 Telegram の説明にある Web サイトでは、ペイロードがコードを漏洩する場所でもあります。 彼らがこのようにしているのは、指定した Web サイトが閉鎖された場合に Telegram チャネルの説明をすぐに変更できるためです。これは基本的には海賊版の DNS リゾルバーです (画像 4)。 とにかく、これは StealC (YARA 識別子に基づく) です。これは (おそらく) StealC を使用する誰かによる新たなマルウェア キャンペーンです。私はそれが好きです。 GitHub スパムと Telegram の海賊版 DNS リゾルバーを組み合わせた非常にクールな使い方。 Telegram が削除リクエストに対して迅速に対応するとは思えないため、おそらくこれが役立つでしょう。 昨日、2 人の異なる人から、GitHub 上の 2 つの異なるプロジェクトについて私に連絡がありました。 「Tito」は、GitHub で「synara」のパッチがあると主張するコメントをしている人について私に DM を送りました (画像 1) 「Robert Z」は、別の GitHub プロジェクトで同様のものについて電子メールを送信しました (画像 2)。 面白い。 さらに調査を進めたところ、このファイルが次の名前でオンラインで発見されたことが判明しました。 - hb_patch_v1112 - レジストリ_パッチ_v0.1.7 - rep_fix_v1.zip - ナトリウム_fix_v1 - log_fix_patch 何とかなんとか(画像3) 基本的に、誰かが GitHub でアカウントを作成し、問題をオープンし、パッチを見つけたというコメントを残しています (おそらく自動化されていますが、それは何でも)。パッチはマルウェアです。 このキャンペーンは 7 月 7 日(昨日)あたりから始まり、かなり急速に広まっているようです。 中身を見ると (ふふふ、くだらない参考資料です)、Go で書かれたプログラムです。バイナリが爆発すると、リモート ホストにクエリが実行され、... Telegram に解決されます。 Telegram チャネルの説明では Web サイトを指定します。 Telegram の説明にある Web サイトでは、ペイロードがコードを漏洩する場所でもあります。 彼らがこのようにしているのは、指定した Web サイトが閉鎖された場合に Telegram チャネルの説明をすぐに変更できるためです。これは基本的には海賊版の DNS リゾルバーです (画像 4)。 とにかく、これは StealC (YARA 識別子に基づく) です。これは (おそらく) StealC を使用する誰かによる新たなマルウェア キャンペーンです。私はそれが好きです。 GitHub スパムと Telegram の海賊版 DNS リゾルバーを組み合わせた非常にクールな使い方。 Telegram が削除リクエストに対して迅速に対応するとは思えないため、おそらくこれが役立つでしょう。