techleakszone 🔥 6 방문수

두 개의 서로 다른 GitHub 프로젝트로 독립 기여자들의 관심이 촉발되었습니다

두 개의 서로 다른 GitHub 프로젝트로 독립 기여자들의 관심이 촉발되었습니다

GitHub를 악용하여 배포하는 새로운 악성 코드 캠페인

어제 보고된 주목할만한 사건에서는 두 사람이 서로 다른 GitHub 프로젝트에서 발생한 의심스러운 활동에 관해 독립적으로 연락을 취했습니다. "Tito"는 "synara"에 대한 패치가 있다고 주장하는 댓글에 대해 직접 메시지를 통해 연락했고, "Robert Z"는 다른 프로젝트에 대해 비슷한 우려를 공유했습니다. 두 사례 모두 GitHub를 배포 플랫폼으로 활용하는 새로운 악성 코드 캠페인인 사이버 보안의 놀라운 추세를 보여줍니다.

위협 분석

심층 조사 결과 이 악성 코드와 관련된 여러 파일이 다음을 포함하여 모두 고유한 이름으로 온라인에 공개된 것으로 나타났습니다.

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • 나트륨_수정_v1
  • log_fix_patch

개별 또는 그룹이 GitHub에서 패치를 찾았다는 주장과 함께 공개 문제에 대해 댓글을 달며 겉으로 보기엔 괜찮아 보이는 활동에 참여하기 위해 계정을 만드는 것으로 보입니다. 그러나 추가 조사 결과 이러한 패치는 본질적으로 악성인 것으로 밝혀졌습니다.

파일 이름 설명 hb_patch_v1112 캠페인과 관련된 잠재적 악성코드 파일 registry_patch_v0.1.7 레지스트리 수정을 위한 악성 패치 rep_fix_v1.zip 잠재적으로 유해한 코드가 포함된 의심스러운 zip 파일 나트륨_수정_v1 맬웨어 활동과 연결되었을 가능성이 있는 알 수 없는 패치 log_fix_patch 감염 가능성이 있는 것으로 의심되는 파일

타임라인 및 기술적 통찰력

이 캠페인은 2023년 7월 7일경에 시작된 것으로 보이며, 다양한 채널을 통해 빠르게 관심을 끌고 확산되고 있습니다. 악성코드 자체는 Go로 작성된 프로그램이다. 실행되면 바이너리는 텔레그램에 연결된 원격 호스트에 연결됩니다.

더 중요한 점은 악성 코드와 관련된 텔레그램 채널에 웹사이트를 지정하는 설명이 있다는 것입니다. 이 웹사이트의 목적은 페이로드가 데이터를 추출할 수 있도록 하는 것입니다. 이 방법을 사용하면 가해자가 신속하게 적응할 수 있습니다. 지정된 웹사이트가 폐쇄되면 텔레그램 채널 설명을 쉽게 변경하여 새 주소로 리디렉션할 수 있습니다. 본질적으로 이는 작업을 용이하게 하기 위해 임시 DNS 확인자를 생성합니다.

악성코드 식별: StealC

YARA 식별자에 따르면 이 새로운 위협은 "StealC"로 식별되며 이는 의도된 기능인 정보 도용을 암시합니다. Telegram을 통한 임시 DNS 확인자와 함께 GitHub 스팸 전술을 활용하는 이 적응형 전략은 사이버 범죄 영역에서 새로운 접근 방식을 보여줍니다. 명령 및 제어 작업을 위한 호스팅 기반으로 Telegram을 사용하는 것은 독특한 과제를 제기합니다. 플랫폼은 게시 중단 요청에 응답하는 속도가 매우 느리기 때문에 공격자를 대담하게 만듭니다.

결론

이 멀웨어 캠페인의 증가는 악의적인 단체가 합법적인 플랫폼을 악용하여 사용자 시스템에 침투하는 복잡한 방식을 강조합니다. 일반적으로 소프트웨어 개발 및 협업의 허브인 GitHub를 이러한 사악한 활동에 통합하는 것은 개발자와 보안 전문가 모두에게 우려되는 추세입니다. 미래에 이와 같은 위협을 완화하려면 경계를 늦추지 않고 사이버 보안 실무자들 사이에서 협업을 육성하는 것이 필수적입니다.



어제 두 사람이 GitHub의 두 가지 프로젝트에 관해 저에게 연락했습니다. "Tito"는 GitHub에서 "synara"에 대한 패치가 있다고 주장하는 누군가에 대해 나에게 DM을 보냈습니다(이미지 1). "Robert Z"는 다른 GitHub 프로젝트(이미지 2)에서 유사한 내용을 이메일로 보냈습니다. 흥미로운. 추가 조사 결과 다음과 같은 이름의 파일이 온라인에서 발견된 것으로 나타났습니다. - hb_patch_v1112 -registry_patch_v0.1.7 -rep_fix_v1.zip -sodium_fix_v1 -log_fix_patch 어쩌고 저쩌고 (이미지 3) 기본적으로 누군가가 GitHub에 계정을 만들고 이슈를 열고 패치를 찾았다는 댓글을 남깁니다(자동일 가능성이 높지만 어쨌든). 패치는 악성코드입니다. 이 캠페인은 7월 7일(어제)쯤에 시작된 것으로 보이며 꽤 빠르게 진행되고 있습니다. 안을 들여다보면 (헤헤 어리석은 참조입니다) Go로 작성된 프로그램입니다. 바이너리가 폭발하면 ... Telegram으로 확인되는 원격 호스트를 쿼리합니다. 텔레그램 채널 설명은 웹사이트를 지정합니다. 텔레그램 설명에 있는 웹사이트는 페이로드가 코드를 추출하는 곳이기도 합니다. 그들이 이렇게 하는 이유는 그들이 지정한 웹사이트가 폐쇄될 경우 텔레그램 채널 설명을 신속하게 변경할 수 있기 때문입니다. 기본적으로 해적판 DNS 확인자입니다(이미지 4). 어쨌든 이것은 StealC입니다(YARA 식별자 기반). 이것은 (아마도) StealC를 사용하는 누군가의 새로운 악성코드 캠페인일 것입니다. 좋아요. Telegram의 해적판 DNS 확인자와 결합된 GitHub 스팸의 매우 멋진 사용법입니다. Telegram이 게시 중단 요청에 대해 신속하게 조치를 취할지 의심스럽기 때문에 도움이 될 것입니다. 어제 두 명의 다른 사람이 GitHub의 두 가지 다른 프로젝트에 관해 나에게 연락했습니다. "Tito"는 GitHub에서 "synara"에 대한 패치가 있다고 주장하는 누군가에 대해 나에게 DM을 보냈습니다(이미지 1). "Robert Z"는 다른 GitHub 프로젝트(이미지 2)에서 유사한 내용을 이메일로 보냈습니다. 흥미로운. 추가 조사 결과 다음과 같은 이름의 파일이 온라인에서 발견된 것으로 나타났습니다. - hb_patch_v1112 -registry_patch_v0.1.7 -rep_fix_v1.zip -sodium_fix_v1 - log_fix_patch 어쩌고저쩌고 (이미지 3) 기본적으로 누군가가 GitHub에 계정을 만들고 이슈를 열고 패치를 찾았다는 댓글을 남깁니다(자동일 가능성이 높지만 어쨌든). 패치는 악성코드입니다. 이 캠페인은 7월 7일(어제)쯤에 시작된 것으로 보이며 꽤 빠르게 진행되고 있습니다. 안을 들여다보면 (헤헤 어리석은 참조입니다) Go로 작성된 프로그램입니다. 바이너리가 폭발하면 ... Telegram으로 확인되는 원격 호스트를 쿼리합니다. 텔레그램 채널 설명은 웹사이트를 지정합니다. 텔레그램 설명에 있는 웹사이트는 페이로드가 코드를 추출하는 곳이기도 합니다. 그들이 이렇게 하는 이유는 그들이 지정한 웹사이트가 폐쇄될 경우 텔레그램 채널 설명을 신속하게 변경할 수 있기 때문입니다. 기본적으로 해적판 DNS 확인자입니다(이미지 4). 어쨌든 이것은 StealC입니다(YARA 식별자 기반). 이것은 (아마도) StealC를 사용하는 누군가의 새로운 악성코드 캠페인일 것입니다. 좋아요. Telegram의 해적판 DNS 확인자와 결합된 GitHub 스팸의 매우 멋진 사용법입니다. Telegram이 게시 중단 요청에 대해 신속하게 조치를 취할지 의심스럽기 때문에 도움이 될 것입니다.