โครงการ GitHub ที่โดดเด่นสองโครงการจุดประกายความสนใจจากผู้ร่วมให้ข้อมูลอิสระ

แคมเปญมัลแวร์ที่เกิดขึ้นใหม่ใช้ประโยชน์จาก GitHub เพื่อการเผยแพร่
ในเหตุการณ์สำคัญที่รายงานเมื่อวานนี้ มีบุคคลสองคนติดต่อได้อย่างอิสระเกี่ยวกับกิจกรรมที่น่าสงสัยในโครงการ GitHub ที่แตกต่างกัน "Tito" ได้รับการติดต่อผ่านข้อความโดยตรงเกี่ยวกับความคิดเห็นที่อ้างว่ามีแพตช์สำหรับ "synara" ในขณะที่ "Robert Z" แชร์ข้อกังวลที่คล้ายกันเกี่ยวกับโปรเจ็กต์อื่น ทั้งสองกรณีให้ความกระจ่างถึงแนวโน้มที่น่าตกใจด้านความปลอดภัยทางไซเบอร์ ซึ่งเป็นแคมเปญมัลแวร์ที่เกิดขึ้นใหม่โดยใช้ GitHub เป็นแพลตฟอร์มการเผยแพร่
กายวิภาคของภัยคุกคาม
การตรวจสอบเชิงลึกเผยให้เห็นว่ามีไฟล์หลายไฟล์ที่เกี่ยวข้องกับมัลแวร์นี้ปรากฏทางออนไลน์ โดยทั้งหมดมีชื่อที่แตกต่างกัน รวมถึง:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- โซเดียม_ฟิกซ์_v1
- log_fix_patch
ดูเหมือนว่าบุคคลหรือกลุ่มกำลังสร้างบัญชีบน GitHub เพื่อมีส่วนร่วมในกิจกรรมที่ดูเหมือนไม่เป็นพิษเป็นภัย โดยแสดงความคิดเห็นเกี่ยวกับปัญหาที่เปิดกว้างโดยอ้างว่าพบแพตช์แล้ว อย่างไรก็ตาม จากการตรวจสอบเพิ่มเติม โปรแกรมแก้ไขเหล่านี้ได้รับการเปิดเผยว่ามีลักษณะที่เป็นอันตราย
ไทม์ไลน์และข้อมูลเชิงลึกทางเทคนิค
ดูเหมือนว่าแคมเปญนี้จะเริ่มขึ้นประมาณวันที่ 7 กรกฎาคม 2023 ซึ่งได้รับความสนใจอย่างรวดเร็วและแพร่กระจายผ่านช่องทางต่างๆ มัลแวร์นั้นเป็นโปรแกรมที่เขียนด้วยภาษา Go เมื่อดำเนินการ ไบนารีจะเชื่อมต่อกับโฮสต์ระยะไกลที่เชื่อมโยงกับ Telegram
ที่สำคัญยิ่งกว่านั้นคือช่องทางโทรเลขที่เกี่ยวข้องกับมัลแวร์มีคำอธิบายที่ระบุเว็บไซต์ วัตถุประสงค์ของเว็บไซต์นี้คือการเปิดใช้งานเพย์โหลดเพื่อขโมยข้อมูล วิธีการนี้ช่วยให้ผู้กระทำผิดปรับตัวได้อย่างรวดเร็ว หากเว็บไซต์ที่กำหนดถูกลบออก พวกเขาสามารถแก้ไขคำอธิบายช่อง Telegram เพื่อเปลี่ยนเส้นทางไปยังที่อยู่ใหม่ได้อย่างง่ายดาย โดยพื้นฐานแล้ว สิ่งนี้จะสร้างตัวแก้ไข DNS ชั่วคราวเพื่ออำนวยความสะดวกในการดำเนินงาน
การระบุมัลแวร์: StealC
ตามตัวระบุของ YARA ภัยคุกคามที่เกิดขึ้นใหม่นี้ถูกระบุว่าเป็น "StealC" ซึ่งบ่งบอกถึงฟังก์ชันการทำงานที่ต้องการ นั่นคือการขโมยข้อมูล กลยุทธ์การปรับตัวนี้ใช้ประโยชน์จากกลวิธีสแปม GitHub ร่วมกับตัวแก้ไข DNS ชั่วคราวผ่าน Telegram นำเสนอแนวทางใหม่ในขอบเขตของอาชญากรรมในโลกไซเบอร์ การใช้ Telegram เป็นพื้นที่สำหรับการปฏิบัติการสั่งการและควบคุมทำให้เกิดความท้าทายที่ไม่เหมือนใคร แพลตฟอร์มดังกล่าวช้าอย่างมากในการตอบสนองต่อคำขอลบออก ซึ่งทำให้ผู้โจมตีกล้าได้กล้าเสีย
บทสรุป
การเพิ่มขึ้นของแคมเปญมัลแวร์นี้ตอกย้ำถึงวิธีที่ซับซ้อนที่หน่วยงานที่เป็นอันตรายใช้ประโยชน์จากแพลตฟอร์มที่ถูกกฎหมายเพื่อแทรกซึมระบบผู้ใช้ การบูรณาการ GitHub ซึ่งโดยทั่วไปจะเป็นศูนย์กลางสำหรับการพัฒนาซอฟต์แวร์และการทำงานร่วมกันในกิจกรรมที่ชั่วร้ายดังกล่าวถือเป็นแนวโน้มที่น่ากังวลสำหรับนักพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัย การระมัดระวังและส่งเสริมการทำงานร่วมกันระหว่างผู้ปฏิบัติงานด้านความปลอดภัยทางไซเบอร์จะเป็นสิ่งสำคัญในการบรรเทาภัยคุกคามเช่นนี้ในอนาคต
เมื่อวานนี้มีคนสองคนติดต่อฉันเกี่ยวกับโครงการที่แตกต่างกันสองรายการบน GitHub "Tito" DMd ฉันเกี่ยวกับคนที่แสดงความคิดเห็นใน GitHub โดยอ้างว่ามีแพตช์สำหรับ "synara" (ภาพที่ 1) "Robert Z" ส่งอีเมลเกี่ยวกับสิ่งที่คล้ายกันในโครงการ GitHub อื่น (ภาพที่ 2) น่าสนใจ. จากการตรวจสอบเพิ่มเติม ปรากฏว่าไฟล์ดังกล่าวถูกค้นพบทางออนไลน์ชื่อ: - hb_patch_v1112 - register_patch_v0.1.7 - rep_fix_v1.zip - โซเดียม_ฟิกซ์_v1 - log_fix_patch บลา บลา บลา (ภาพที่ 3) โดยพื้นฐานแล้ว มีคนกำลังสร้างบัญชีบน GitHub เพื่อเปิดประเด็น และแสดงความคิดเห็นว่าพวกเขาพบแพตช์แล้ว (อาจเป็นไปโดยอัตโนมัติ แต่ไม่ว่าอย่างไรก็ตาม) โปรแกรมแก้ไขนี้เป็นมัลแวร์ ดูเหมือนว่าแคมเปญนี้จะเริ่มประมาณวันที่ 7 กรกฎาคม (เมื่อวาน) และดำเนินไปอย่างรวดเร็ว พอมองเข้าไปข้างใน (อิอิ อ้างอิงแบบงี่เง่า) มันคือโปรแกรมที่เขียนด้วยภาษา Go เมื่อไบนารี่ระเบิด มันจะสอบถามโฮสต์ระยะไกลซึ่งแก้ไขเป็น ... Telegram คำอธิบายช่องโทรเลขระบุเว็บไซต์ เว็บไซต์ในคำอธิบายของ Telegram เป็นที่ที่เพย์โหลดกรองโค้ดด้วย พวกเขากำลังทำเช่นนี้เพราะพวกเขาสามารถเปลี่ยนคำอธิบายช่อง Telegram ได้อย่างรวดเร็วหากเว็บไซต์ที่พวกเขาระบุถูกลบออก โดยพื้นฐานแล้วมันเป็นตัวแก้ไข DNS ของเถื่อน (ภาพที่ 4) อย่างไรก็ตาม นี่คือ StealC (ตามตัวระบุ YARA) นี่คือ (อาจเป็น) แคมเปญมัลแวร์ใหม่โดยผู้ที่ใช้ StealC ฉันชอบมัน. การใช้สแปม GitHub ที่ยอดเยี่ยมมากรวมกับตัวแก้ไข DNS ของเถื่อนบน Telegram อาจช่วยได้เพราะฉันสงสัยว่า Telegram จะดำเนินการอย่างรวดเร็วกับคำขอลบออกหรือไม่ เมื่อวานมีคนสองคนติดต่อฉันเกี่ยวกับสองโปรเจ็กต์ที่แตกต่างกันบน GitHub "Tito" DMd ฉันเกี่ยวกับคนที่แสดงความคิดเห็นใน GitHub โดยอ้างว่ามีแพตช์สำหรับ "synara" (ภาพที่ 1) "Robert Z" ส่งอีเมลเกี่ยวกับสิ่งที่คล้ายกันในโครงการ GitHub อื่น (ภาพที่ 2) น่าสนใจ. จากการตรวจสอบเพิ่มเติม ปรากฏว่าไฟล์ดังกล่าวถูกค้นพบทางออนไลน์ชื่อ: - hb_patch_v1112 - register_patch_v0.1.7 - rep_fix_v1.zip - โซเดียม_ฟิกซ์_v1 - log_fix_patch บลา บลา บลา (ภาพที่ 3) โดยพื้นฐานแล้ว มีคนกำลังสร้างบัญชีบน GitHub เพื่อเปิดประเด็น และแสดงความคิดเห็นว่าพวกเขาพบแพตช์แล้ว (อาจเป็นไปโดยอัตโนมัติ แต่ไม่ว่าอย่างไรก็ตาม) โปรแกรมแก้ไขนี้เป็นมัลแวร์ ดูเหมือนว่าแคมเปญนี้จะเริ่มประมาณวันที่ 7 กรกฎาคม (เมื่อวาน) และดำเนินไปอย่างรวดเร็ว พอมองเข้าไปข้างใน (อิอิ อ้างอิงแบบงี่เง่า) มันคือโปรแกรมที่เขียนด้วยภาษา Go เมื่อไบนารี่ระเบิด มันจะสอบถามโฮสต์ระยะไกลซึ่งแก้ไขเป็น ... Telegram คำอธิบายช่องโทรเลขระบุเว็บไซต์ เว็บไซต์ในคำอธิบายของ Telegram เป็นที่ที่เพย์โหลดกรองโค้ดด้วย พวกเขากำลังทำเช่นนี้เพราะพวกเขาสามารถเปลี่ยนคำอธิบายช่อง Telegram ได้อย่างรวดเร็วหากเว็บไซต์ที่พวกเขาระบุถูกลบออก โดยพื้นฐานแล้วมันเป็นตัวแก้ไข DNS ของเถื่อน (ภาพที่ 4) อย่างไรก็ตาม นี่คือ StealC (ตามตัวระบุ YARA) นี่คือ (อาจเป็น) แคมเปญมัลแวร์ใหม่โดยผู้ที่ใช้ StealC ฉันชอบมัน. การใช้สแปม GitHub ที่ยอดเยี่ยมมากรวมกับตัวแก้ไข DNS ของเถื่อนบน Telegram อาจช่วยได้เพราะฉันสงสัยว่า Telegram จะดำเนินการอย่างรวดเร็วกับคำขอลบออกหรือไม่
TechOffice