techleakszone 🔥 23 การเข้าชม

โปรเจกต์ GitHub ใหม่: สองไอเดียสดจากนักพัฒนาชั้นนำ

โปรเจกต์ GitHub ใหม่: สองไอเดียสดจากนักพัฒนาชั้นนำ
```html

การสอบสวนแคมเปญใหม่ของมัลแวร์ที่ใช้ GitHub และ Telegram

เมื่อวานนี้ มีผู้ใช้สองคนได้ติดต่อมาหาผมเกี่ยวกับโครงการต่างๆ บน GitHub โดยมี "Tito" ส่งข้อความตรง (DM) มาพูดคุยเกี่ยวกับผู้ที่แสดงความคิดเห็นใน GitHub ว่าพบแพตช์สำหรับ "synara" และ "Robert Z" ได้ส่งอีเมลมาถึงผมเกี่ยวกับสิ่งที่คล้ายกันในโครงการ GitHub อื่น

เมื่อทำการตรวจสอบเพิ่มเติม พบว่ามีไฟล์ที่มีชื่อเดียวกันถูกค้นพบทางออนไลน์ ได้แก่:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

ดูเหมือนว่าจะมีใครบางคนกำลังสร้างบัญชีบน GitHub และไปที่หน้าเปิดประเด็น (issues) เพื่อทิ้งความคิดเห็นว่าพบแพตช์ ซึ่งน่าจะเป็นการทำอัตโนมัติ(automated) และแน่นอนว่า แพตช์ดังกล่าวคือมัลแวร์

จากการตรวจสอบแคมเปญนี้ เริ่มขึ้นประมาณวันที่ 7 กรกฎาคมที่ผ่านมา (เมื่อวานนี้) และกำลังแพร่กระจายไปอย่างรวดเร็ว

เมื่อเข้าไปดูภายในโปรแกรม พบว่ามันถูกเขียนด้วยภาษา Go และเมื่อไฟล์ไบนารีทำงาน (detonates) มันจะทำการเชื่อมต่อกับโฮสต์ระยะไกลซึ่งสามารถระบุได้ว่าเป็น Telegram

คำอธิบายของช่อง Telegram ระบุเว็บไซต์ ซึ่งเว็บไซต์นี้คือแหล่งที่มัลแวร์ทำการส่งข้อมูลไปยัง

การใช้วิธีนี้มีจุดประสงค์เพื่อให้สามารถเปลี่ยนแปลงคำอธิบายของช่อง Telegram ได้อย่างรวดเร็ว หากเว็บไซต์ที่ระบุถูกลบ

กลยุทธ์การใช้ DNS Resolver ที่ผิดกฎหมาย

ระบบที่ใช้ในแคมเปญนี้สามารถเปรียบได้กับ DNS resolver ที่ถูกกฎหมาย กล่าวคือเมื่อใดที่เว็บไซต์ใดๆ ถูกลบ การเปลี่ยนแปลงจะทำได้ทันที

ชื่อไฟล์ ประเภท สถานะ
hb_patch_v1112 มัลแวร์ ค้นพบแล้ว
registry_patch_v0.1.7 มัลแวร์ ค้นพบแล้ว
rep_fix_v1.zip มัลแวร์ ค้นพบแล้ว
sodium_fix_v1 มัลแวร์ ค้นพบแล้ว
log_fix_patch มัลแวร์ ค้นพบแล้ว

จากการวิเคราะห์ข้อมูลที่มี มัลแวร์นี้มีชื่อว่า StealC ซึ่งอิงตามตัวระบุ YARA อาจจะเป็นแคมเปญใหม่ที่ใครบางคนใช้ StealC

ถึงแม้ว่ามันจะดูน่าสนใจ แต่การใช้ GitHub ในการแพร่กระจายมัลแวร์ในลักษณะนี้ถือเป็นการใช้เทคนิคที่อันตรายมาก การที่ Telegram ไม่ค่อยมีการตอบสนองต่อคำขอเพื่อดึงข้อมูลนี้ออก อาจจะทำให้การแพร่กระจายมีความเร็วที่มากยิ่งขึ้น

เราควรมีการตื่นตัวและตรวจสอบให้แน่ใจว่าโปรเจ็คที่เราใช้งานอยู่ไม่มีการดาวน์โหลดไฟล์ที่มีความเสี่ยงเหล่านี้

```