สองโปรเจกต์น่าสนใจจาก GitHub ที่ได้รับการติดต่อจากผู้พัฒนาหลายรายในวันเดียว

การสอบสวนการโจมตีทางไซเบอร์: แคมเปญมัลแวร์ใหม่ใน GitHub
เมื่อวานนี้ ผู้ใช้งานสองคนได้ติดต่อฉันเกี่ยวกับโปรเจกต์ที่แตกต่างกันใน GitHub โดยมีเนื้อหาดังนี้:
- Tito ส่งข้อความตรง (DM) มาที่ฉันเกี่ยวกับคนที่ทำการคอมเมนต์ใน GitHub อ้างว่ามีแพตช์สำหรับ synara (ตามที่แสดงในรูปภาพ 1)
- Robert Z ส่งอีเมลมาที่ฉันเกี่ยวกับโปรเจกต์ GitHub อื่นๆ ที่มีเนื้อหาที่คล้ายกัน (ตามที่แสดงในรูปภาพ 2)
น่าสนใจมาก!
การค้นพบแพตช์ที่เป็นอันตราย
เมื่อทำการสืบสวนเพิ่มเติม พบว่าไฟล์เดียวกันนี้ได้ถูกค้นพบทางออนไลน์ ซึ่งมีชื่อดังต่อไปนี้:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
- และอื่นๆ (ตามที่แสดงในรูปภาพ 3)
พูดง่าย ๆ ก็คือ มีคนสร้างบัญชีใน GitHub ทำการเปิดปัญหา (issue) และทิ้งคอมเมนต์ว่าพบแพตช์ (ซึ่งอาจจะเป็นการทำงานที่อัตโนมัติ) โดยแพตช์ดังกล่าวเป็นมัลแวร์!
ดิสโกเฟอรี่ของแคมเปญ
แคมเปญนี้ดูเหมือนจะเริ่มตั้งแต่วันที่ 7 กรกฎาคมที่ผ่านมาและกำลังแพร่กระจายอย่างรวดเร็ว
เมื่อคุณเปิดเข้าไปดู (การอ้างอิงที่ตลกในที่นี้) พบว่าโปรแกรมนี้เขียนในภาษา Go และเมื่อไฟล์ไบนารีถูกเรียกใช้ มันจะมีการติดต่อไปยังโฮสต์ระยะไกลซึ่งชี้ไปที่ ... Telegram
| ประเภทข้อมูล | รายละเอียด |
|---|---|
| ประเภทแพตช์ | มัลแวร์ |
| ภาษาที่ใช้ | Go |
| ช่องทางการสื่อสาร | Telegram |
| วันที่เริ่มแคมเปญ | 7 กรกฎาคม |
รายละเอียดของช่อง Telegram จะระบุเว็บไซต์ ซึ่งเว็บไซต์นี้เป็นที่ที่โหลดข้อมูลผลลัพธ์จะถูกส่งไปยัง
การใช้การตั้งค่าด้วยวิธีนี้คือวิธีที่พวกเขาสามารถเปลี่ยนแปลงคำอธิบายช่อง Telegram ได้อย่างรวดเร็วหากเว็บไซต์ที่กำหนดถูกอายัด มันคือการทำงานเหมือน DNS resolver แบบข้างทาง
บทสรุป
นี่คือโปรแกรม StealC (ตามที่ระบุใน YARA identifiers) ซึ่งน่าจะเป็นแคมเปญมัลแวร์ใหม่ที่ใช้ StealC ฉันชื่นชอบการใช้สแปมใน GitHub ผสานเข้ากับ DNS resolver ที่ผิดกฎหมายใน Telegram จริง ๆ มันช่วยได้มาก เนื่องจากไม่น่าจะ Telegram จะสามารถจัดการกับคำขอระงับได้เร็วมากนัก
การแจ้งเตือนสำหรับนักพัฒนาหรือผู้ใช้ GitHub ทุกคน โปรดระมัดระวังและไม่ควรติดตั้งแพตช์ที่ไม่รู้แหล่งที่มาเป็นอันขาด!
```
TechOffice