โครงการ GitHub ที่แตกต่างกันสองโครงการจุดประกายความสนใจจากผู้ติดต่อที่แยกจากกันเมื่อวานนี้

แคมเปญมัลแวร์ GitHub ที่กำลังเกิดขึ้นใหม่โดยใช้ StealC: การวิเคราะห์โดยละเอียด
การสื่อสารล่าสุดจากบุคคลสองคนที่แตกต่างกันเกี่ยวกับโครงการที่แตกต่างกันบน GitHub ได้เปิดเผยแนวโน้มที่น่าตกใจ คนแรกระบุว่าเป็น "Tito" ติดต่อผ่านทางข้อความโดยตรงเกี่ยวกับความคิดเห็นใน GitHub เกี่ยวกับแพทช์ที่ควรจะเป็นสำหรับ "synara" ประการที่สองเรียกว่า "Robert Z" ส่งอีเมลเกี่ยวกับสถานการณ์ที่คล้ายกันซึ่งเกี่ยวข้องกับโครงการอื่นบนแพลตฟอร์ม รายงานเหล่านี้นำไปสู่การสืบสวนเชิงลึกยิ่งขึ้น ซึ่งเผยให้เห็นแคมเปญมัลแวร์ที่แพร่หลายซึ่งใช้ประโยชน์จากความคิดเห็น GitHub ในรูปแบบใหม่ที่น่ารำคาญ
ภาพรวมกิจกรรมที่เป็นอันตราย
จากการตรวจสอบพบว่ามีไฟล์หลายไฟล์ที่เชื่อมโยงกับมัลแวร์ถูกเผยแพร่ทางออนไลน์ภายใต้ชื่อต่างๆ รวมถึง:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- โซเดียม_ฟิกซ์_v1
- log_fix_patch
แพตช์เหล่านี้ได้กลายเป็นเวกเตอร์สำหรับการเผยแพร่มัลแวร์ เนื่องจากผู้โจมตีสร้างบัญชีบน GitHub โพสต์ความคิดเห็นเกี่ยวกับปัญหาที่เปิดอยู่ และโน้มน้าวนักพัฒนาที่ไม่สงสัยว่าพวกเขาได้ค้นพบวิธีแก้ไขที่แท้จริงแล้ว พฤติกรรมนี้ดูเหมือนจะเป็นไปโดยอัตโนมัติ ซึ่งนำไปสู่การเผยแพร่ลิงก์ที่เป็นอันตรายอย่างรวดเร็ว
วงจรการโจมตี
เชื่อกันว่าแคมเปญเฉพาะนี้เริ่มต้นในวันที่ 7 กรกฎาคม วิธีการนี้เกี่ยวข้องกับโปรแกรมที่เขียนในภาษา Go ซึ่งเมื่อดำเนินการแล้วจะสอบถามโฮสต์ระยะไกล ในกรณีนี้ โฮสต์เป้าหมายจะแปลงเป็นช่อง Telegram คำอธิบายของช่องทางโทรเลขนี้อ้างอิงถึงเว็บไซต์ ซึ่งทำหน้าที่เป็นจุดสิ้นสุดที่เพย์โหลดของมัลแวร์ขโมยรหัสและข้อมูลที่ละเอียดอ่อน
ข้อดีเชิงกลยุทธ์ประการหนึ่งของแนวทางนี้คือความสามารถสำหรับผู้โจมตีในการปรับเปลี่ยนคำอธิบายของช่อง Telegram อย่างรวดเร็ว หากเว็บไซต์ที่กำหนดถูกปิด พวกเขาสามารถชี้ไปยังเว็บไซต์ใหม่ได้อย่างง่ายดายโดยไม่กระทบต่อการดำเนินงานอย่างมีนัยสำคัญ โดยพื้นฐานแล้ว พวกเขาได้สร้างกลไกตัวแก้ไข DNS อย่างไม่เป็นทางการโดยใช้ Telegram เป็นจุดส่งต่อ
การระบุตัวตนและคุณลักษณะ
นักวิเคราะห์ความปลอดภัยระบุว่ามัลแวร์นี้เป็น StealC ตามตัวระบุ YARA สิ่งนี้ชี้ให้เห็นว่าน่าจะเป็นวิวัฒนาการของเทคโนโลยีมัลแวร์ที่มีอยู่ โดยอาจมีรูปแบบใหม่ๆ เข้ามาเพื่อหลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพ การเชื่อมโยงอย่างสร้างสรรค์ของสแปม GitHub และการใช้ตัวแก้ไข DNS เถื่อนบน Telegram แสดงให้เห็นถึงกลยุทธ์ขั้นสูงที่มุ่งทำลายทรัพยากรของนักพัฒนา
เนื่องจาก Telegram ไม่ตอบสนองอย่างรวดเร็วต่อคำขอลบออก ช่องทางนี้จึงทำหน้าที่เป็นเวกเตอร์การสื่อสารในอุดมคติสำหรับผู้ไม่หวังดี ทำให้พวกเขาขยายกรอบเวลาการดำเนินงานก่อนที่จะถูกรบกวน
บทสรุป
การเปิดเผยของแคมเปญมัลแวร์นี้เน้นย้ำถึงแนวโน้มใหม่ของภัยคุกคามทางไซเบอร์ที่ใช้ประโยชน์จากแพลตฟอร์มที่มีชื่อเสียง เช่น GitHub นักพัฒนาจะต้องระมัดระวังต่อแพตช์ที่ไม่พึงประสงค์และตรวจสอบที่มาของไฟล์ใด ๆ ที่พวกเขาดาวน์โหลด เนื่องจากภาพรวมของภัยคุกคามทางไซเบอร์มีการพัฒนามากขึ้น ชุมชนเทคโนโลยีจึงต้องร่วมมือกันในการระบุและลดความเสี่ยงเหล่านี้อย่างมีประสิทธิภาพ
สถานการณ์นี้เป็นสัญญาณเตือนให้เราทราบว่ากลไกการเฝ้าระวังและการป้องกันเชิงรุกเป็นสิ่งสำคัญยิ่งในการต่อสู้กับอาชญากรรมในโลกไซเบอร์ที่กำลังดำเนินอยู่
เมื่อวานนี้มีคนสองคนติดต่อฉันเกี่ยวกับสองโครงการที่แตกต่างกันบน GitHub "Tito" DMd ฉันเกี่ยวกับคนที่แสดงความคิดเห็นใน GitHub โดยอ้างว่ามีแพตช์สำหรับ "synara" (ภาพที่ 1) "Robert Z" ส่งอีเมลเกี่ยวกับสิ่งที่คล้ายกันในโครงการ GitHub อื่น (ภาพที่ 2) น่าสนใจ. จากการตรวจสอบเพิ่มเติม ปรากฏว่าไฟล์ดังกล่าวถูกค้นพบทางออนไลน์ชื่อ: - hb_patch_v1112 - register_patch_v0.1.7 - rep_fix_v1.zip - โซเดียม_ฟิกซ์_v1 - log_fix_patch บลา บลา บลา (ภาพที่ 3) โดยพื้นฐานแล้ว มีคนกำลังสร้างบัญชีบน GitHub เพื่อเปิดประเด็น และแสดงความคิดเห็นว่าพวกเขาพบแพตช์แล้ว (อาจเป็นไปโดยอัตโนมัติ แต่ไม่ว่าอย่างไรก็ตาม) โปรแกรมแก้ไขนี้เป็นมัลแวร์ ดูเหมือนว่าแคมเปญนี้จะเริ่มประมาณวันที่ 7 กรกฎาคม (เมื่อวาน) และดำเนินไปอย่างรวดเร็ว พอมองเข้าไปข้างใน (อิอิ อ้างอิงแบบงี่เง่า) มันคือโปรแกรมที่เขียนด้วยภาษา Go เมื่อไบนารี่ระเบิด มันจะสอบถามโฮสต์ระยะไกลซึ่งแก้ไขเป็น ... Telegram คำอธิบายช่องโทรเลขระบุเว็บไซต์ เว็บไซต์ในคำอธิบายของ Telegram เป็นที่ที่เพย์โหลดกรองโค้ดด้วย พวกเขากำลังทำเช่นนี้เพราะพวกเขาสามารถเปลี่ยนคำอธิบายช่อง Telegram ได้อย่างรวดเร็วหากเว็บไซต์ที่พวกเขาระบุถูกลบออก โดยพื้นฐานแล้วมันเป็นตัวแก้ไข DNS ของเถื่อน (ภาพที่ 4) อย่างไรก็ตาม นี่คือ StealC (ตามตัวระบุ YARA) นี่คือ (อาจเป็น) แคมเปญมัลแวร์ใหม่โดยผู้ที่ใช้ StealC ฉันชอบมัน. การใช้สแปม GitHub ที่ยอดเยี่ยมมากรวมกับตัวแก้ไข DNS ของเถื่อนบน Telegram อาจช่วยได้เพราะฉันสงสัยว่า Telegram จะดำเนินการอย่างรวดเร็วกับคำขอลบออกหรือไม่ เมื่อวานมีคนสองคนติดต่อฉันเกี่ยวกับสองโปรเจ็กต์ที่แตกต่างกันบน GitHub "Tito" DMd ฉันเกี่ยวกับคนที่แสดงความคิดเห็นใน GitHub โดยอ้างว่ามีแพตช์สำหรับ "synara" (ภาพที่ 1) "Robert Z" ส่งอีเมลเกี่ยวกับสิ่งที่คล้ายกันในโครงการ GitHub อื่น (ภาพที่ 2) น่าสนใจ. จากการตรวจสอบเพิ่มเติม ปรากฏว่าไฟล์ดังกล่าวถูกค้นพบทางออนไลน์ชื่อ: - hb_patch_v1112 - register_patch_v0.1.7 - rep_fix_v1.zip - โซเดียม_ฟิกซ์_v1 - log_fix_patch บลา บลา บลา (ภาพที่ 3) โดยพื้นฐานแล้ว มีคนกำลังสร้างบัญชีบน GitHub เพื่อเปิดประเด็น และแสดงความคิดเห็นว่าพวกเขาพบแพตช์แล้ว (อาจเป็นไปโดยอัตโนมัติ แต่ไม่ว่าอย่างไรก็ตาม) โปรแกรมแก้ไขนี้เป็นมัลแวร์ ดูเหมือนว่าแคมเปญนี้จะเริ่มประมาณวันที่ 7 กรกฎาคม (เมื่อวาน) และดำเนินไปอย่างรวดเร็ว พอมองเข้าไปข้างใน (อิอิ อ้างอิงแบบงี่เง่า) มันคือโปรแกรมที่เขียนด้วยภาษา Go เมื่อไบนารี่ระเบิด มันจะสอบถามโฮสต์ระยะไกลซึ่งแก้ไขเป็น ... Telegram คำอธิบายช่องโทรเลขระบุเว็บไซต์ เว็บไซต์ในคำอธิบายของ Telegram เป็นที่ที่เพย์โหลดกรองโค้ดด้วย พวกเขากำลังทำเช่นนี้เพราะพวกเขาสามารถเปลี่ยนคำอธิบายช่อง Telegram ได้อย่างรวดเร็วหากเว็บไซต์ที่พวกเขาระบุถูกลบออก โดยพื้นฐานแล้วมันเป็นตัวแก้ไข DNS ของเถื่อน (ภาพที่ 4) อย่างไรก็ตาม นี่คือ StealC (ตามตัวระบุ YARA) นี่คือ (อาจเป็น) แคมเปญมัลแวร์ใหม่โดยผู้ที่ใช้ StealC ฉันชอบมัน. การใช้สแปม GitHub ที่ยอดเยี่ยมมากรวมกับตัวแก้ไข DNS ของเถื่อนบน Telegram อาจช่วยได้เพราะฉันสงสัยว่า Telegram จะดำเนินการอย่างรวดเร็วกับคำขอลบออกหรือไม่
TechOffice