techleakszone 🔥 8 방문수

새로운 협업 기회 공개: 두 개의 독특한 GitHub 프로젝트가 관심을 불러일으킵니다

새로운 협업 기회 공개: 두 개의 독특한 GitHub 프로젝트가 관심을 불러일으킵니다

GitHub를 악용하여 배포하는 새로운 악성 코드 캠페인

사이버 보안 환경 내에서 우려되는 전개 과정에서 GitHub를 배포 플랫폼으로 활용하는 새로운 악성 코드 캠페인에 관한 보고가 나왔습니다. 이 폭로는 두 개의 별도 소스에서 전달된 커뮤니케이션에 이어 별개의 GitHub 프로젝트와 관련된 유사한 결과를 강조합니다.

초기 보고 및 발견

7월 7일, "Tito"와 "Robert Z"로 알려진 두 명의 개인이 GitHub와 관련된 의심스러운 활동을 보고했습니다. Tito의 관심은 패치가 발견되었다고 주장하는 synara라는 프로젝트에 대한 댓글에 집중되었습니다. 마찬가지로 Robert Z는 다른 GitHub 프로젝트 내에서 별도의 발생을 인용했습니다. 두 사례 모두 호기심을 불러일으켰고 이러한 패치의 신뢰성에 대한 경각심을 불러일으켰습니다.

조사 결과

조사를 더 자세히 살펴보면 놀라운 패턴이 드러났습니다. 다음을 포함하여 여러 상황에서 동일한 파일 이름이 나타났습니다.

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • 나트륨_수정_v1
  • log_fix_patch

증거에 따르면 개인이나 그룹은 소프트웨어 취약점에 대한 패치를 제공한다고 허위로 주장하면서 다양한 프로젝트 전반에 걸쳐 공개된 문제에 대한 의견을 게시하기 위해 자동으로 계정을 생성하고 있는 것으로 나타났습니다. 놀랍게도 이러한 소위 패치는 실제로 악성 코드입니다.

악성코드의 구조

분석 결과, 이 댓글에서 확인된 악성 소프트웨어는 Go로 작성되었습니다. 실행되면 Telegram으로 확인되는 원격 호스트에 대한 쿼리를 수행합니다. 결정적으로, 이 호스트와 연결된 텔레그램 채널에는 악성코드 페이로드가 유출 노력을 리디렉션하는 특정 웹사이트에 대한 링크가 포함되어 있습니다.

동적 연결 및 회피 전술

이러한 작동 방법은 즉각적인 적응성을 위해 전략적으로 설계된 것으로 보입니다. 동적 텔레그램 채널 설명을 유지함으로써 공격자는 게시 중단 시 웹사이트 링크를 쉽게 변경할 수 있으며 임시 DNS 확인자 역할을 효과적으로 수행할 수 있습니다. 이 혁신적이면서도 사악한 전술은 예방 조치를 복잡하게 만들고 멀웨어가 더 많이 확산될 위험이 있습니다.

StealC 악성코드 식별

YARA 식별자를 기반으로 현재 악성코드 변종은 StealC로 분류되었습니다. 이번 공개는 전통적인 GitHub 스팸 기술과 Telegram과 같은 최신 통신 채널을 결합하여 사이버 범죄 활동의 잠재적인 진화를 시사합니다. 이 캠페인은 두 플랫폼 모두의 취약점을 악용하기 위한 영리하지만 위험한 적응을 보여줍니다.

의미와 대응

이 새로운 악성 코드 캠페인의 현실은 개발자 커뮤니티 내에서 더욱 강력한 경계가 필요함을 강조합니다. GitHub와 Telegram은 점점 커지는 위협을 완화하기 위해 사용자 교육 및 사전 게시 중단 메커니즘에 대한 공동 노력을 강화해야 할 수도 있습니다.

결론

요약하자면, 소셜 코딩 플랫폼과 메시징 채널을 통한 악성 코드 배포의 교차점은 사이버 보안에 대한 새로운 과제를 제시합니다. 사용자는 GitHub에서 댓글이나 다운로드 가능한 콘텐츠와 상호 작용할 때 주의를 기울여야 합니다. 이러한 상황이 전개됨에 따라 진화하는 사이버 위협 환경에 맞서기 위해서는 조사와 인식을 강화하는 것이 필수적입니다.

파일 이름 악성코드와의 연결 hb_patch_v1112 악성코드 식별 registry_patch_v0.1.7 악성코드 식별 rep_fix_v1.zip 악성코드 식별 나트륨_수정_v1 악성코드 식별 log_fix_patch 악성코드 식별

어제 두 사람이 GitHub의 두 가지 프로젝트에 관해 나에게 연락했습니다. "Tito"는 GitHub에서 "synara"에 대한 패치가 있다고 주장하는 누군가에 대해 나에게 DM을 보냈습니다(이미지 1). "Robert Z"는 다른 GitHub 프로젝트(이미지 2)에서 유사한 내용을 이메일로 보냈습니다. 흥미로운. 추가 조사 결과 다음과 같은 이름의 파일이 온라인에서 발견된 것으로 나타났습니다. - hb_patch_v1112 -registry_patch_v0.1.7 -rep_fix_v1.zip -sodium_fix_v1 -log_fix_patch 어쩌고 저쩌고 (이미지 3) 기본적으로 누군가가 GitHub에 계정을 만들고 이슈를 열고 패치를 찾았다는 댓글을 남깁니다(자동일 가능성이 높지만 어쨌든). 패치는 악성코드입니다. 이 캠페인은 7월 7일(어제)쯤에 시작된 것으로 보이며 꽤 빠르게 진행되고 있습니다. 안을 들여다보면 (헤헤 어리석은 참조입니다) Go로 작성된 프로그램입니다. 바이너리가 폭발하면 ... Telegram으로 확인되는 원격 호스트를 쿼리합니다. 텔레그램 채널 설명은 웹사이트를 지정합니다. 텔레그램 설명에 있는 웹사이트는 페이로드가 코드를 추출하는 곳이기도 합니다. 그들이 이렇게 하는 이유는 그들이 지정한 웹사이트가 폐쇄될 경우 텔레그램 채널 설명을 신속하게 변경할 수 있기 때문입니다. 기본적으로 해적판 DNS 확인자입니다(이미지 4). 어쨌든 이것은 StealC입니다(YARA 식별자 기반). 이것은 (아마도) StealC를 사용하는 누군가의 새로운 악성코드 캠페인일 것입니다. 좋아요. Telegram의 해적판 DNS 확인자와 결합된 GitHub 스팸의 매우 멋진 사용법입니다. Telegram이 게시 중단 요청에 대해 신속하게 조치를 취할지 의심스럽기 때문에 도움이 될 것입니다. 어제 두 명의 다른 사람이 GitHub의 두 가지 다른 프로젝트에 관해 나에게 연락했습니다. "Tito"는 GitHub에서 "synara"에 대한 패치가 있다고 주장하는 누군가에 대해 나에게 DM을 보냈습니다(이미지 1). "Robert Z"는 다른 GitHub 프로젝트(이미지 2)에서 유사한 내용을 이메일로 보냈습니다. 흥미로운. 추가 조사 결과 다음과 같은 이름의 파일이 온라인에서 발견된 것으로 나타났습니다. - hb_patch_v1112 -registry_patch_v0.1.7 -rep_fix_v1.zip -sodium_fix_v1 -log_fix_patch 어쩌고 저쩌고 (이미지 3) 기본적으로 누군가가 GitHub에 계정을 만들고 이슈를 열고 패치를 찾았다는 댓글을 남깁니다(자동일 가능성이 높지만 어쨌든). 패치는 악성코드입니다. 이 캠페인은 7월 7일(어제)쯤에 시작된 것으로 보이며 꽤 빠르게 진행되고 있습니다. 안을 들여다보면 (헤헤 어리석은 참조입니다) Go로 작성된 프로그램입니다. 바이너리가 폭발하면 ... Telegram으로 확인되는 원격 호스트를 쿼리합니다. 텔레그램 채널 설명은 웹사이트를 지정합니다. 텔레그램 설명에 있는 웹사이트는 페이로드가 코드를 추출하는 곳이기도 합니다. 그들이 이렇게 하는 이유는 그들이 지정한 웹사이트가 폐쇄될 경우 텔레그램 채널 설명을 신속하게 변경할 수 있기 때문입니다. 기본적으로 해적판 DNS 확인자입니다(이미지 4). 어쨌든 이것은 StealC입니다(YARA 식별자 기반). 이것은 (아마도) StealC를 사용하는 누군가의 새로운 악성코드 캠페인일 것입니다. 좋아요. Telegram의 해적판 DNS 확인자와 결합된 GitHub 스팸의 매우 멋진 사용법입니다. Telegram이 게시 중단 요청에 대해 신속하게 조치를 취할지 의심스럽기 때문에 도움이 될 것입니다.