techleakszone 🔥 16 Посещения

Вчера ко мне обратились два человека с различными проектами на GitHub

Вчера ко мне обратились два человека с различными проектами на GitHub

Анализ новой кампании malware на GitHub: Стратегии и технологии

Недавно два специалиста из ИТ-сферы обратились ко мне с информацией о подозрительных проектах на платформе GitHub. Один из них, "Tito", сообщил о комментарии, оставленном на странице проекта "synara", где утверждалось, что найдено исправление. Второй, "Robert Z", упомянул о похожем инциденте в другом проекте. Данная ситуация привлекла моё внимание и потребовала более глубокого анализа.

Обнаруженные файлы и их особенности

В ходе расследования я наткнулся на несколько файлов, которые были распространены в сети под названиями:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

К сожалению, все эти "патчи" содержат вредоносное программное обеспечение, что ставит под угрозу безопасность пользователей GitHub.

Стратегия действия злоумышленников

Похоже, что злоумышленники создают аккаунты на GitHub, инициируют обсуждения по открытым вопросам и оставляют комментарии о наличии патчей. Это действие, вероятно, автоматизировано, что делает кампанию более агрессивной и масштабируемой.

Согласно моим данным, данная кампания началась около 7 июля и уже активно распространяется. Основной код вредоносного ПО написан на языке Go. При активации бинарного файла он отправляет запрос на удалённый сервер, который указывает на ... Telegram.

Использование Telegram для распространения вредоносного ПО

Интересной особенностью данной кампании является то, что в описании Telegram-канала содержится ссылка на веб-сайт, куда идет экстракция вредоносного кода. Злоумышленники используют данную стратегию, чтобы быстро изменять ссылку, если указанный веб-сайт будет заблокирован.

В результате получается своего рода "нелегитимный DNS резолвер", который значительно усложняет работу правоохранительных органов и служб безопасности, так как Telegram, как правило, медленно реагирует на запросы о блокировке контента.

Идентификация и характеристика вредоносного ПО StealC

На основании идентификаторов YARA можно утверждать, что данная кампания связана с вредоносным ПО StealC. Это, вероятно, новая волна атак, использующая нестандартные подходы к распространению вредоносного кода и манипуляции пользователями. Ниже представлена таблица, демонстрирующая различия между типами файлов и подходами к их распространению:

Название файла Тип содержимого Метод распространения
hb_patch_v1112 Вредоносный Комментарии на GitHub
registry_patch_v0.1.7 Вредоносный Комментарии на GitHub
rep_fix_v1.zip Вредоносный Комментарии на GitHub
sodium_fix_v1 Вредоносный Комментарии на GitHub
log_fix_patch Вредоносный Комментарии на GitHub

Заключение

В заключение стоит отметить, что данная кампания представляет собой интересный и довольно сложный подход к распространению вредоносного ПО через известную платформу, такую как GitHub, в сочетании с возможностями Telegram. Данная ситуация является тревожным знаком для всех участников сообщества разработчиков. Важно своевременно информировать пользователей и повышать уровень их осведомленности о потенциальных угрозах в сети.