techleakszone 🔥 2 Посещения

Открыты новые возможности для совместной работы: два уникальных проекта GitHub вызывают интерес

Открыты новые возможности для совместной работы: два уникальных проекта GitHub вызывают интерес

Новая кампания по распространению вредоносного ПО использует GitHub для распространения

В сфере кибербезопасности появились сообщения о новой кампании по распространению вредоносного ПО, использующей GitHub в качестве платформы для распространения. Это сообщение последовало за сообщениями из двух разных источников, в которых подчеркиваются схожие выводы, связанные с разными проектами GitHub.

Первоначальные отчеты и открытия

7 июля два человека — один известный как «Тито», другой — «Роберт Зи» — сообщили о подозрительной деятельности, связанной с GitHub. Беспокойство Тито было вызвано комментарием к проекту под названием synara, в котором утверждалось, что был обнаружен патч. Аналогичным образом, Роберт З. привел отдельный случай в другом проекте GitHub. Оба случая вызвали любопытство и вызвали тревогу относительно достоверности этих предполагаемых патчей.

Результаты расследования

Углубление расследования выявило тревожную закономерность. Одни и те же имена файлов появлялись в разных контекстах, в том числе:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch
  • Факты свидетельствуют о том, что отдельный человек или группа автоматически создает учетные записи для публикации комментариев по открытым проблемам в различных проектах, ложно заявляя, что предоставляет исправления для уязвимостей программного обеспечения. Вызывает тревогу тот факт, что эти так называемые патчи на самом деле являются вредоносным ПО.

    Структура вредоносного ПО

    По данным анализа, вредоносное программное обеспечение, обнаруженное в этих комментариях, написано на Go. При выполнении он выполняет запрос к удаленному хосту, который разрешается в Telegram. Важно отметить, что канал Telegram, связанный с этим хостом, содержит ссылку на указанный веб-сайт, где вредоносное ПО перенаправляет свои усилия по эксфильтрации.

    Динамическая связь и тактика уклонения

    Этот метод работы стратегически разработан для мгновенной адаптации. Поддерживая динамическое описание канала Telegram, злоумышленники могут легко изменить ссылку на веб-сайт в случае удаления, эффективно действуя как импровизированный преобразователь DNS. Эта инновационная, но гнусная тактика усложняет профилактические меры и рискует дальнейшим распространением вредоносного ПО.

    Идентификация вредоносного ПО StealC

    На основании идентификаторов YARA текущий вариант вредоносного ПО отнесен к категории StealC. Это открытие предполагает потенциальную эволюцию киберпреступной деятельности, сочетающую традиционные методы спама GitHub с современными каналами связи, такими как Telegram. Кампания демонстрирует умную, но опасную адаптацию для использования уязвимостей обеих платформ.

    Последствия и реакция

    Реалии этой новой кампании по распространению вредоносного ПО подчеркивают необходимость повышенной бдительности среди сообщества разработчиков. И GitHub, и Telegram, возможно, придется активизировать совместные усилия по обучению пользователей и механизмам превентивного удаления, чтобы смягчить эту растущую угрозу.

    Заключение

    Подводя итог, можно сказать, что пересечение распространения вредоносного ПО через платформы социального кодирования и каналы обмена сообщениями создает новую проблему для кибербезопасности. Пользователям настоятельно рекомендуется проявлять осторожность при взаимодействии с комментариями или загружаемым контентом на GitHub. По мере развития этой ситуации более пристальное внимание и осведомленность будут иметь важное значение для борьбы с меняющимся ландшафтом киберугроз.

    Имена файлов Связь с вредоносным ПО hb_patch_v1112 Обнаружено вредоносное ПО registry_patch_v0.1.7 Обнаружено вредоносное ПО rep_fix_v1.zip Обнаружено вредоносное ПО sodium_fix_v1 Обнаружено вредоносное ПО log_fix_patch Обнаружено вредоносное ПО

    Вчера два разных человека связались со мной по поводу двух разных проектов на GitHub. «Тито» написал мне в личку о том, что кто-то оставил комментарий на GitHub, утверждая, что у него есть патч для «synara» (Изображение 1). «Роберт З.» написал по электронной почте о чем-то похожем в другом проекте GitHub (изображение 2). Интересный. В ходе дальнейшего расследования выяснилось, что именно этот файл был обнаружен в Интернете под названием: - hb_patch_v1112 - реестр_патч_v0.1.7 - Rep_fix_v1.zip - натрия_fix_v1 - log_fix_patch бла-бла-бла (изображение 3) По сути, кто-то создает учетные записи на GitHub, открывает проблемы и оставляет комментарий о том, что нашел патч (скорее всего, это автоматизировано, но неважно). Патч представляет собой вредоносное ПО. Похоже, что эта кампания началась примерно 7 июля (вчера) и набирает обороты довольно быстро. Если заглянуть внутрь (хе-хе глупая ссылка), то окажется, что это программа, написанная на Go. Когда двоичный файл взрывается, он запрашивает удаленный хост, который разрешает... Telegram. В описании канала Telegram указан сайт. Веб-сайт в описании Telegram также является местом, где полезная нагрузка также удаляет код. Они делают это таким образом, потому что могут быстро изменить описание канала Telegram, если указанный ими веб-сайт будет закрыт. По сути, это контрафактный преобразователь DNS (изображение 4). В любом случае это StealC (на основе идентификаторов YARA). Это (вероятно) новая вредоносная кампания, организованная кем-то, использующим StealC. Мне это нравится. Очень крутое использование спама GitHub в сочетании с контрафактным преобразователем DNS в Telegram. Вероятно, это помогает, потому что я сомневаюсь, что Telegram быстро отреагирует на запросы об удалении. Вчера со мной связались два разных человека по поводу двух разных проектов на GitHub. «Тито» написал мне в личку о том, что кто-то оставил комментарий на GitHub, утверждая, что у него есть патч для «synara» (Изображение 1). «Роберт З.» написал по электронной почте о чем-то похожем в другом проекте GitHub (изображение 2). Интересный. В ходе дальнейшего расследования выяснилось, что именно этот файл был обнаружен в Интернете под названием: - hb_patch_v1112 - реестр_патч_v0.1.7 - Rep_fix_v1.zip - натрия_fix_v1 - log_fix_patch бла-бла-бла (изображение 3) По сути, кто-то создает учетные записи на GitHub, открывает проблемы и оставляет комментарий о том, что нашел патч (скорее всего, это автоматизировано, но неважно). Патч представляет собой вредоносное ПО. Похоже, что эта кампания началась примерно 7 июля (вчера) и набирает обороты довольно быстро. Если заглянуть внутрь (хе-хе глупая ссылка), то окажется, что это программа, написанная на Go. Когда двоичный файл взрывается, он запрашивает удаленный хост, который разрешает... Telegram. В описании канала Telegram указан сайт. Веб-сайт в описании Telegram также является местом, где полезная нагрузка также удаляет код. Они делают это таким образом, потому что могут быстро изменить описание канала Telegram, если указанный ими веб-сайт будет закрыт. По сути, это контрафактный преобразователь DNS (изображение 4). В любом случае это StealC (на основе идентификаторов YARA). Это (вероятно) новая вредоносная кампания, организованная кем-то, использующим StealC. Мне это нравится. Очень крутое использование спама GitHub в сочетании с контрафактным преобразователем DNS в Telegram. Вероятно, это помогает, потому что я сомневаюсь, что Telegram быстро отреагирует на запросы об удалении.