techleakszone 🔥 16 Посещения

Два разных проекта GitHub вызывают интерес со стороны независимых участников

Два разных проекта GitHub вызывают интерес со стороны независимых участников

Новая кампания по распространению вредоносного ПО использует GitHub для распространения

В ходе примечательного инцидента, о котором сообщалось вчера, два человека независимо друг от друга обратились по поводу подозрительной деятельности в различных проектах GitHub. «Тито» связался через прямое сообщение по поводу комментария, в котором утверждалось, что у него есть патч для «Сынары», в то время как «Роберт З» поделился аналогичными опасениями относительно другого проекта. Оба случая свидетельствуют о тревожной тенденции в сфере кибербезопасности: зарождающейся кампании по распространению вредоносного ПО с использованием GitHub в качестве платформы для распространения.

Анатомия угрозы

Более глубокое расследование показало, что в сети появилось несколько файлов, связанных с этим вредоносным ПО, все с разными именами, в том числе:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch
  • Похоже, что отдельный человек или группа создают учетные записи на GitHub для участия в, казалось бы, безобидной деятельности — комментировании открытых проблем с утверждениями о том, что они нашли исправление. Однако при дальнейшем изучении выяснилось, что эти исправления имеют вредоносный характер.

    Имя файла Описание hb_patch_v1112 Файл потенциального вредоносного ПО, связанный с кампанией registry_patch_v0.1.7 Вредоносный патч для изменений реестра rep_fix_v1.zip Подозрительный zip-файл, содержащий потенциально опасный код sodium_fix_v1 Неизвестный патч, вероятно, связан с деятельностью вредоносного ПО log_fix_patch Файл предположительно заразен

    Сроки и техническая информация

    Похоже, что эта кампания началась примерно 7 июля 2023 года, быстро набрала обороты и распространилась по различным каналам. Сама вредоносная программа представляет собой программу, написанную на Go. При выполнении двоичный файл подключается к удаленному хосту, связанному с Telegram.

    Что еще более важно, канал Telegram, связанный с вредоносным ПО, имеет описание, в котором указан веб-сайт. Цель этого веб-сайта — предоставить полезную нагрузку для извлечения данных. Эта методология позволяет преступникам быстро адаптироваться; если указанный веб-сайт будет закрыт, они смогут легко изменить описание канала Telegram для перенаправления на новый адрес. По сути, это создает импровизированный преобразователь DNS для облегчения их работы.

    Идентификация вредоносного ПО: StealC

    Согласно идентификаторам YARA, эта новая угроза обозначена как «StealC», что указывает на ее предполагаемую функцию — кражу информации. Эта адаптивная стратегия, использующая тактику спама GitHub вместе с импровизированным преобразователем DNS через Telegram, демонстрирует новый подход в сфере киберпреступности. Использование Telegram в качестве площадки для операций командования и контроля ставит уникальные проблемы; Платформа, как известно, медленно реагирует на запросы об удалении, что подбадривает злоумышленников.

    Заключение

    Рост этой кампании по распространению вредоносного ПО подчеркивает сложность способов, с помощью которых злоумышленники используют законные платформы для проникновения в пользовательские системы. Интеграция GitHub, обычно центра разработки программного обеспечения и совместной работы, в такую ​​гнусную деятельность знаменует собой тревожную тенденцию как для разработчиков, так и для специалистов по безопасности. Сохранение бдительности и содействие сотрудничеству между специалистами по кибербезопасности будут иметь важное значение для смягчения подобных угроз в будущем.



    Вчера два разных человека связались со мной по поводу двух разных проектов на GitHub. «Тито» написал мне в личку о том, что кто-то оставил комментарий на GitHub, утверждая, что у него есть патч для «synara» (Изображение 1). «Роберт З.» написал по электронной почте о чем-то похожем в другом проекте GitHub (изображение 2). Интересный. В ходе дальнейшего расследования выяснилось, что именно этот файл был обнаружен в Интернете под названием: - hb_patch_v1112 - реестр_патч_v0.1.7 - Rep_fix_v1.zip - натрия_fix_v1 - log_fix_patch бла-бла-бла (изображение 3) По сути, кто-то создает учетные записи на GitHub, открывает проблемы и оставляет комментарий о том, что нашел патч (скорее всего, это автоматизировано, но неважно). Патч представляет собой вредоносное ПО. Похоже, что эта кампания началась примерно 7 июля (вчера) и набирает обороты довольно быстро. Если заглянуть внутрь (хе-хе глупая ссылка), то окажется, что это программа, написанная на Go. Когда двоичный файл взрывается, он запрашивает удаленный хост, который разрешает... Telegram. В описании канала Telegram указан сайт. Веб-сайт в описании Telegram также является местом, где полезная нагрузка также удаляет код. Они делают это таким образом, потому что могут быстро изменить описание канала Telegram, если указанный ими веб-сайт будет закрыт. По сути, это контрафактный преобразователь DNS (изображение 4). В любом случае это StealC (на основе идентификаторов YARA). Это (вероятно) новая вредоносная кампания, организованная кем-то, использующим StealC. Мне это нравится. Очень крутое использование спама GitHub в сочетании с контрафактным преобразователем DNS в Telegram. Вероятно, это помогает, потому что я сомневаюсь, что Telegram быстро отреагирует на запросы об удалении. Вчера со мной связались два разных человека по поводу двух разных проектов на GitHub. «Тито» написал мне в личку о том, что кто-то оставил комментарий на GitHub, утверждая, что у него есть патч для «synara» (Изображение 1). «Роберт З.» написал по электронной почте о чем-то похожем в другом проекте GitHub (изображение 2). Интересный. В ходе дальнейшего расследования выяснилось, что именно этот файл был обнаружен в Интернете под названием: - hb_patch_v1112 - реестр_патч_v0.1.7 - Rep_fix_v1.zip - натрия_fix_v1 - log_fix_patch бла-бла-бла (изображение 3) По сути, кто-то создает учетные записи на GitHub, открывает проблемы и оставляет комментарий о том, что нашел патч (скорее всего, это автоматизировано, но неважно). Патч представляет собой вредоносное ПО. Похоже, что эта кампания началась примерно 7 июля (вчера) и набирает обороты довольно быстро. Если заглянуть внутрь (хе-хе глупая ссылка), то окажется, что это программа, написанная на Go. Когда двоичный файл взрывается, он запрашивает удаленный хост, который разрешает... Telegram. В описании канала Telegram указан сайт. Веб-сайт в описании Telegram также является местом, где полезная нагрузка также удаляет код. Они делают это таким образом, потому что могут быстро изменить описание канала Telegram, если указанный ими веб-сайт будет закрыт. По сути, это контрафактный преобразователь DNS (изображение 4). В любом случае это StealC (на основе идентификаторов YARA). Это (вероятно) новая вредоносная кампания, организованная кем-то, использующим StealC. Мне это нравится. Очень крутое использование спама GitHub в сочетании с контрафактным преобразователем DNS в Telegram. Вероятно, это помогает, потому что я сомневаюсь, что Telegram быстро отреагирует на запросы об удалении.