Разработчики стремятся к сотрудничеству в различных проектах GitHub: приглашение к инновациям

Новая угроза вредоносного ПО: StealC использует GitHub для распространения
Тревожным событием в сфере кибербезопасности стали сообщения о новой кампании по распространению вредоносного ПО, использующей GitHub для распространения вредоносного ПО. Кампания, получившая название StealC, привлекла внимание множества специалистов по кибербезопасности, что побудило их изучить ее последствия как для пользователей, так и для разработчиков.
Первоначальные открытия
7 июля два человека обратились к нам по поводу подозрительной активности в отдельных проектах GitHub. Один из них, известный как «Тито», поделился прямым сообщением о комментарии, в котором утверждалось, что он предоставил патч для проекта под названием «Сынара». Тем временем «Роберт З.» отметил аналогичную активность в другом репозитории GitHub. Оба случая указывают на автоматический шаблон, при котором пользователи, казалось бы, предлагали исправления, которые на самом деле были скрыто вредоносными.
Общие закономерности и тенденции
Изучив многочисленные отчеты и файлы, связанные с этой тенденцией, исследователи заметили, что появилось несколько файлов исправлений с похожими соглашениями об именах. К ним относятся:
Несмотря на юмористический подтекст первоначальных отчетов, реальность гораздо серьезнее. Эти файлы, хотя и представляют собой безобидные исправления, содержат вредоносное ПО, предназначенное для компрометации пользовательских систем.
Технический анализ вредоносного ПО
Вредоносная полезная нагрузка, скрытая в этих файлах, в основном разработана на Go — языке программирования, известном своей эффективностью и скоростью. После активации вредоносная программа выполняет ряд действий, включая запрос к удаленному хосту, который в конечном итоге преобразуется в службу Telegram. Такой подход позволяет разработчикам вредоносного ПО поддерживать гибкую инфраструктуру, поскольку они могут легко изменить описание канала Telegram, чтобы перенаправлять пользователей на новые сайты утечки, если их исходные домены будут удалены.
Механизмы эксфильтрации
Механизм напоминает элементарный преобразователь DNS, в котором вредоносное ПО обращается к каналу Telegram для получения инструкций и необходимых данных. Учитывая якобы мягкую политику Telegram в отношении пользователей и контента, вполне вероятно, что эта платформа служит временным убежищем для злоумышленников. Эта характеристика повышает долговечность и эффективность кампании.
Выводы
Появление StealC подчеркивает заметный сдвиг в тактике распространения вредоносного ПО. Использование автоматизированного взаимодействия через GitHub не только расширяет возможности потенциальных заражений, но и позволяет злоумышленникам использовать доверие, окружающее платформы для совместного написания кода. Интеграция Telegram в качестве канала связи еще больше усложняет усилия по снижению рисков, связанных с этим вектором атаки.
Заключение
Поскольку новые кампании по распространению вредоносного ПО, такие как StealC, продолжают развиваться, разработчикам и пользователям крайне важно проявлять осторожность при взаимодействии с платформами с открытым исходным кодом, такими как GitHub. Осведомленность об этой тактике и последствиях, казалось бы, безобидных исправлений имеет решающее значение для защиты от потенциальных инфекций. Специалистам по кибербезопасности необходимо будет сохранять бдительность, отслеживая эти тенденции и предпринимая меры по обучению пользователей не становиться жертвами таких вредоносных схем.
Обзор результатов
В заключение, кампания StealC является примером хитрого использования законных платформ в злонамеренных целях, что требует повышенного внимания и бдительности в техническом сообществе.
Вчера два разных человека связались со мной по поводу двух разных проектов на GitHub. «Тито» написал мне в личку о том, что кто-то оставил комментарий на GitHub, утверждая, что у него есть патч для «synara» (Изображение 1). «Роберт З.» написал по электронной почте о чем-то похожем в другом проекте GitHub (изображение 2). Интересный. В ходе дальнейшего расследования выяснилось, что именно этот файл был обнаружен в Интернете под названием: - hb_patch_v1112 - реестр_патч_v0.1.7 - Rep_fix_v1.zip - натрия_fix_v1 - log_fix_patch бла-бла-бла (изображение 3) По сути, кто-то создает учетные записи на GitHub, открывает проблемы и оставляет комментарий о том, что нашел патч (скорее всего, это автоматизировано, но неважно). Патч представляет собой вредоносное ПО. Похоже, что эта кампания началась примерно 7 июля (вчера) и набирает обороты довольно быстро. Если заглянуть внутрь (хе-хе глупая ссылка), то окажется, что это программа, написанная на Go. Когда двоичный файл взрывается, он запрашивает удаленный хост, который разрешает... Telegram. В описании канала Telegram указан сайт. Веб-сайт в описании Telegram также является местом, где полезная нагрузка также удаляет код. Они делают это таким образом, потому что могут быстро изменить описание канала Telegram, если указанный ими веб-сайт будет закрыт. По сути, это контрафактный преобразователь DNS (изображение 4). В любом случае это StealC (на основе идентификаторов YARA). Это (вероятно) новая вредоносная кампания, организованная кем-то, использующим StealC. Мне это нравится. Очень крутое использование спама GitHub в сочетании с контрафактным преобразователем DNS в Telegram. Вероятно, это помогает, потому что я сомневаюсь, что Telegram быстро отреагирует на запросы об удалении. Вчера со мной связались два разных человека по поводу двух разных проектов на GitHub. «Тито» написал мне в личку о том, что кто-то оставил комментарий на GitHub, утверждая, что у него есть патч для «synara» (Изображение 1). «Роберт З.» написал по электронной почте о чем-то похожем в другом проекте GitHub (изображение 2). Интересный. В ходе дальнейшего расследования выяснилось, что именно этот файл был обнаружен в Интернете под названием: - hb_patch_v1112 - реестр_патч_v0.1.7 - Rep_fix_v1.zip - натрия_fix_v1 - log_fix_patch бла-бла-бла (изображение 3) По сути, кто-то создает учетные записи на GitHub, открывает проблемы и оставляет комментарий о том, что нашел патч (скорее всего, это автоматизировано, но неважно). Патч представляет собой вредоносное ПО. Похоже, что эта кампания началась примерно 7 июля (вчера) и набирает обороты довольно быстро. Если заглянуть внутрь (хе-хе глупая ссылка), то окажется, что это программа, написанная на Go. Когда двоичный файл взрывается, он запрашивает удаленный хост, который разрешает... Telegram. В описании канала Telegram указан сайт. Веб-сайт в описании Telegram также является местом, где полезная нагрузка также удаляет код. Они делают это таким образом, потому что могут быстро изменить описание канала Telegram, если указанный ими веб-сайт будет закрыт. По сути, это контрафактный преобразователь DNS (изображение 4). В любом случае это StealC (на основе идентификаторов YARA). Это (вероятно) новая вредоносная кампания, организованная кем-то, использующим StealC. Мне это нравится. Очень крутое использование спама GitHub в сочетании с контрафактным преобразователем DNS в Telegram. Вероятно, это помогает, потому что я сомневаюсь, что Telegram быстро отреагирует на запросы об удалении.
TechOffice