新しいコラボレーションの機会が明らかに: 2 つのユニークな GitHub プロジェクトが関心を呼び起こす

GitHub を悪用した新たなマルウェア キャンペーン
サイバーセキュリティ情勢における懸念すべき展開の中で、GitHub を配布プラットフォームとして利用した新たなマルウェア キャンペーンに関する報告が発表されました。この暴露は 2 つの別々の情報源からの情報を追跡しており、異なる GitHub プロジェクトに関連する同様の調査結果を強調しています。
初期レポートと発見
7 月 7 日、2 人の個人 (1 人は「Tito」、もう 1 人は「Robert Z」) が、GitHub に関連した不審なアクティビティを報告しました。 Tito の懸念は、パッチが発見されたと主張する、synara というタイトルのプロジェクトに関するコメントに集中していました。同様に、Robert Z は、別の GitHub プロジェクト内での別の出来事について言及しました。どちらのケースも好奇心を呼び起こし、これらのパッチと称するものの信憑性について警鐘を鳴らしました。
調査結果
調査をさらに深く掘り下げると、憂慮すべきパターンが明らかになりました。同じファイル名が、次のような複数のコンテキストにわたって出現しました。
- hb_patch_v1112
- レジストリ_パッチ_v0.1.7
- rep_fix_v1.zip
- ナトリウム_fix_v1
- log_fix_patch
証拠は、個人またはグループがさまざまなプロジェクトにわたる未解決の問題についてコメントを発行するためのアカウントを自動的に作成し、ソフトウェアの脆弱性に対するパッチを提供すると偽って主張していることを示唆しています。驚くべきことに、これらのいわゆるパッチは実際にはマルウェアです。
マルウェアの構造
分析の結果、これらのコメントで特定された悪意のあるソフトウェアは Go で書かれていることがわかりました。実行すると、Telegram に解決されるリモート ホストに対してクエリが実行されます。重要なのは、このホストに関連付けられた Telegram チャネルには、マルウェア ペイロードが抽出作業をリダイレクトする指定された Web サイトへのリンクが含まれていることです。
動的連携と回避戦術
この操作方法は、瞬時に適応できるように戦略的に設計されているようです。動的な Telegram チャネルの説明を維持することで、攻撃者は削除の際に Web サイトのリンクを容易に変更し、実質的に即席の DNS リゾルバーとして機能することができます。この革新的だが極悪な戦術により、予防策が複雑になり、マルウェアがさらに伝播する危険性があります。
StealC マルウェアの特定
YARA 識別子に基づいて、現在のマルウェアの亜種は StealC として分類されています。この暴露は、従来の GitHub スパム技術と Telegram などの最新の通信チャネルを組み合わせて、サイバー犯罪活動が進化する可能性を示唆しています。このキャンペーンは、両方のプラットフォームの脆弱性を悪用する賢いが危険な適応を示しています。
影響と対応
この新たなマルウェア キャンペーンの現実は、開発者コミュニティ内での警戒を高める必要性を浮き彫りにしています。 GitHub と Telegram は両方とも、この増大する脅威を軽減するために、ユーザー教育と積極的な削除メカニズムに向けた協力的な取り組みを強化する必要があるかもしれません。
結論
要約すると、ソーシャル コーディング プラットフォームとメッセージング チャネルを介したマルウェア配布が交差することで、サイバーセキュリティに新たな課題が生じています。ユーザーは、GitHub 上のコメントやダウンロード可能なコンテンツを操作する際には注意することが求められます。この状況が展開するにつれて、進化するサイバー脅威の状況と戦うには、監視の強化と認識が不可欠になります。
昨日、2 人の異なる人から、GitHub 上の 2 つの異なるプロジェクトについて私に連絡がありました。 「Tito」は、GitHub で「synara」のパッチがあると主張するコメントをしている人について私に DM を送りました (画像 1) 「Robert Z」は、別の GitHub プロジェクトで同様のものについて電子メールを送信しました (画像 2)。 面白い。 さらに調査を進めたところ、このファイルが次の名前でオンラインで発見されたことが判明しました。 - hb_patch_v1112 - レジストリ_パッチ_v0.1.7 - rep_fix_v1.zip - ナトリウム_fix_v1 - log_fix_patch 何とかなんとか(画像3) 基本的に、誰かが GitHub でアカウントを作成し、問題をオープンし、パッチを見つけたというコメントを残しています (おそらく自動化されていますが、それは何でも)。パッチはマルウェアです。 このキャンペーンは 7 月 7 日(昨日)あたりから始まり、かなり急速に広まっているようです。 中身を見ると (ふふふ、くだらない参考資料です)、Go で書かれたプログラムです。バイナリが爆発すると、リモート ホストにクエリが実行され、... Telegram に解決されます。 Telegram チャネルの説明では Web サイトを指定します。 Telegram の説明にある Web サイトでは、ペイロードがコードを漏洩する場所でもあります。 彼らがこのようにしているのは、指定した Web サイトが閉鎖された場合に Telegram チャネルの説明をすぐに変更できるためです。これは基本的に海賊版の DNS リゾルバーです (画像 4)。 とにかく、これは StealC (YARA 識別子に基づく) です。これは (おそらく) StealC を使用する誰かによる新たなマルウェア キャンペーンです。私はそれが好きです。 GitHub スパムと Telegram の海賊版 DNS リゾルバーを組み合わせた非常にクールな使い方。 Telegram が削除リクエストに対して迅速に対応するとは思えないため、おそらくこれが役立つでしょう。 昨日、2 人の異なる人から、GitHub 上の 2 つの異なるプロジェクトについて私に連絡がありました。 「Tito」は、GitHub で「synara」のパッチがあると主張するコメントをしている人について私に DM を送りました (画像 1) 「Robert Z」は、別の GitHub プロジェクトで同様のものについて電子メールを送信しました (画像 2)。 面白い。 さらに調査を進めたところ、このファイルが次の名前でオンラインで発見されたことが判明しました。 - hb_patch_v1112 - レジストリ_パッチ_v0.1.7 - rep_fix_v1.zip - ナトリウム_fix_v1 - log_fix_patch 何とかなんとか(画像3) 基本的に、誰かが GitHub でアカウントを作成し、問題をオープンし、パッチを見つけたというコメントを残しています (おそらく自動化されていますが、それは何でも)。パッチはマルウェアです。 このキャンペーンは 7 月 7 日(昨日)あたりから始まり、かなり急速に広まっているようです。 中身を見ると (ふふふ、くだらない参考資料です)、Go で書かれたプログラムです。バイナリが爆発すると、リモート ホストにクエリが実行され、... Telegram に解決されます。 Telegram チャネルの説明では Web サイトを指定します。 Telegram の説明にある Web サイトでは、ペイロードがコードを漏洩する場所でもあります。 彼らがこのようにしているのは、指定した Web サイトが閉鎖された場合に Telegram チャネルの説明をすぐに変更できるためです。これは基本的に海賊版の DNS リゾルバーです (画像 4)。 とにかく、これは StealC (YARA 識別子に基づく) です。これは (おそらく) StealC を使用する誰かによる新たなマルウェア キャンペーンです。私はそれが好きです。 GitHub スパムと Telegram の海賊版 DNS リゾルバーを組み合わせた非常にクールな使い方。 Telegram が削除リクエストに対して迅速に対応するとは思えないため、おそらくこれが役立つでしょう。
TechOffice