techleakszone 🔥 12 Lượt truy cập

Cơ hội đa dạng: Hai dự án GitHub hợp tác thu hút sự quan tâm từ các nhà phát triển riêng biệt

Cơ hội đa dạng: Hai dự án GitHub hợp tác thu hút sự quan tâm từ các nhà phát triển riêng biệt

Chiến dịch phần mềm độc hại mới nổi sử dụng GitHub để phân phối

Trong một diễn biến gây tò mò, hai cá nhân riêng biệt đã liên hệ để hỏi về các dự án GitHub đáng ngờ dường như đang phát tán phần mềm độc hại dưới vỏ bọc là các bản vá hợp pháp. Người liên hệ đầu tiên, được gọi là “Tito”, đã gửi một tin nhắn trực tiếp liên quan đến một bình luận trên GitHub tuyên bố rằng đã tìm thấy bản vá cho một dự án có tên “synara”. Người thứ hai, được xác định là “Robert Z”, đã gửi một email liên quan đến khiếu nại tương tự về một dự án GitHub khác. Bài viết này đi sâu hơn vào tình hình và tiết lộ những chiến thuật đáng báo động đang được sử dụng.

Làm sáng tỏ chiến dịch

Sau khi điều tra những tuyên bố này, rõ ràng là một loạt tệp chứa các tên khác nhau đã được lưu hành trực tuyến, bao gồm:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • natri_fix_v1
  • log_fix_patch

Những tệp này dường như đã được đăng bởi các cá nhân tạo tài khoản trên GitHub, sau đó họ bình luận về các vấn đề còn tồn tại với khẳng định rằng họ đã tìm thấy một “bản vá”. Hoạt động này, có vẻ như được tự động hóa, có động cơ cơ bản nham hiểm hơn; cái gọi là bản vá thực chất là phần mềm độc hại.

Dòng thời gian của Chiến dịch

Những quan sát ban đầu cho thấy chiến dịch phần mềm độc hại này bắt đầu vào khoảng ngày 7 tháng 7, nhanh chóng thu hút được sự chú ý thông qua nhiều nền tảng GitHub khác nhau. Sự phổ biến nhanh chóng của phần mềm độc hại này cho thấy tính hiệu quả của phương pháp này, tận dụng cộng đồng nguồn mở của GitHub để tiếp cận các nạn nhân tiềm năng.

Kiểm tra kỹ thuật phần mềm độc hại

Đi sâu vào chi tiết kỹ thuật, phần mềm độc hại được đề cập được viết bằng Go. Sau khi thực thi, tệp nhị phân sẽ liên hệ với một máy chủ từ xa, máy chủ này sẽ chuyển sang nền tảng nhắn tin Telegram. Điều đáng kinh ngạc là phần mô tả của kênh Telegram lại bao gồm một liên kết đến một trang web nơi dữ liệu được lọc ra.

Tên tệp Mô tả hb_patch_v1112 Tệp bản vá đã được xác nhận quyền sở hữu registry_patch_v0.1.7 Bản vá được yêu cầu cho các vấn đề về đăng ký rep_fix_v1.zip Tệp zip yêu cầu khắc phục sự cố kho lưu trữ natri_fix_v1 Bản vá tuyên bố giải quyết các vấn đề liên quan đến Natri log_fix_patch Bản vá lỗi ghi nhật ký

Quan sát về chiến lược năng động

Chiến lược này cho phép kẻ đe dọa cập nhật nhanh chóng mô tả kênh Telegram của chúng nếu trang web mà chúng liên kết đến bị gỡ xuống. Chức năng này bắt chước trình phân giải DNS lậu, mang lại sự linh hoạt cho những kẻ tấn công vì chúng có thể nhanh chóng xoay trục trước các biện pháp đối phó.

Xác định biến thể phần mềm độc hại

Dựa trên mã nhận dạng YARA, phần mềm độc hại đã được xác định là “StealC”, cho thấy đây là một phần của một chiến dịch lớn hơn, có thể đang phát triển. Việc tích hợp các chiến thuật spam GitHub kết hợp với trình phân giải DNS tạm thời trên Telegram là một cách tiếp cận sáng tạo, mặc dù độc hại, để phát tán phần mềm độc hại.

Hơn nữa, việc cân nhắc sử dụng Telegram làm cơ chế ra lệnh và kiểm soát (C2) là rất đáng chú ý; Theo truyền thống, phản ứng chậm hơn của nền tảng đối với các yêu cầu gỡ bỏ có thể đóng vai trò như một lớp cách nhiệt cho các tác nhân đe dọa, cho phép chúng hoạt động mà không bị phát hiện trong thời gian dài hơn.

Kết luận

Tình huống đang diễn ra này không chỉ nêu bật sự khéo léo đằng sau các phương pháp phân phối phần mềm độc hại hiện đại mà còn làm nổi bật các lỗ hổng cố hữu trong các nền tảng lâu đời như GitHub. Khi các nhà phát triển và người dùng tham gia vào các dự án nguồn mở, họ phải luôn cảnh giác, sử dụng các biện pháp bảo mật mạnh mẽ để bảo vệ trước các mối đe dọa đang gia tăng như vậy. Sự hợp tác giữa các chuyên gia an ninh mạng là rất quan trọng trong việc giải quyết và vô hiệu hóa những rủi ro mới nổi này, đảm bảo duy trì tính toàn vẹn của hệ sinh thái nguồn mở.



Hôm qua, có hai người khác nhau đã liên hệ với tôi về hai dự án khác nhau trên GitHub. "Tito" DM cho tôi về việc ai đó bình luận trên GitHub tuyên bố có bản vá cho "synara" (Ảnh 1) "Robert Z" đã gửi email về điều gì đó tương tự trên một dự án GitHub khác (hình 2). Hấp dẫn. Sau khi điều tra sâu hơn, hóa ra tập tin chính xác này đã được phát hiện trực tuyến có tên: -hb_patch_v1112 - đăng ký_patch_v0.1.7 -rep_fix_v1.zip - natri_fix_v1 - log_fix_patch bla bla bla (ảnh 3) Về cơ bản, ai đó đang tạo tài khoản trên GitHub, mở các vấn đề và để lại nhận xét cho biết họ đã tìm thấy bản vá (có thể là tự động, nhưng sao cũng được). Bản vá là phần mềm độc hại. Có vẻ như chiến dịch này đã bắt đầu vào khoảng ngày 7 tháng 7 (hôm qua) và đang diễn ra khá nhanh chóng. Khi bạn nhìn vào bên trong (hehe tài liệu tham khảo ngớ ngẩn) đó là một chương trình được viết bằng Go. Khi hệ nhị phân phát nổ, nó truy vấn một máy chủ từ xa và phân giải thành ... Telegram. Mô tả kênh Telegram chỉ định một trang web. Trang web trong phần mô tả của Telegram cũng là nơi tải trọng lọc mã. Họ làm theo cách này vì họ có thể nhanh chóng thay đổi mô tả kênh Telegram nếu trang web họ chỉ định bị gỡ xuống. Về cơ bản nó là một trình phân giải DNS lậu (hình 4). Dù sao thì đây là StealC (dựa trên số nhận dạng YARA). Đây (có thể) là một chiến dịch phần mềm độc hại mới của ai đó sử dụng StealC. Tôi thích nó. Cách sử dụng thư rác GitHub rất thú vị kết hợp với trình phân giải DNS lừa đảo trên Telegram. Nó có thể hữu ích vì tôi nghi ngờ Telegram sẽ nhanh chóng thực hiện hành động với các yêu cầu gỡ xuống. Hôm qua có hai người khác nhau đã liên hệ với tôi về hai dự án khác nhau trên GitHub. "Tito" DM cho tôi về việc ai đó bình luận trên GitHub tuyên bố có bản vá cho "synara" (Ảnh 1) "Robert Z" đã gửi email về điều gì đó tương tự trên một dự án GitHub khác (hình 2). Hấp dẫn. Sau khi điều tra sâu hơn, hóa ra tập tin chính xác này đã được phát hiện trực tuyến có tên: -hb_patch_v1112 - đăng ký_patch_v0.1.7 -rep_fix_v1.zip - natri_fix_v1 - log_fix_patch bla bla bla (ảnh 3) Về cơ bản, ai đó đang tạo tài khoản trên GitHub, mở các vấn đề và để lại nhận xét cho biết họ đã tìm thấy bản vá (có thể là tự động, nhưng sao cũng được). Bản vá là phần mềm độc hại. Có vẻ như chiến dịch này đã bắt đầu vào khoảng ngày 7 tháng 7 (hôm qua) và đang diễn ra khá nhanh chóng. Khi bạn nhìn vào bên trong (hehe tài liệu tham khảo ngớ ngẩn) đó là một chương trình được viết bằng Go. Khi hệ nhị phân phát nổ, nó truy vấn một máy chủ từ xa và phân giải thành ... Telegram. Mô tả kênh Telegram chỉ định một trang web. Trang web trong phần mô tả của Telegram cũng là nơi tải trọng lọc mã. Họ làm theo cách này vì họ có thể nhanh chóng thay đổi mô tả kênh Telegram nếu trang web họ chỉ định bị gỡ xuống. Về cơ bản nó là một trình phân giải DNS lậu (hình 4). Dù sao thì đây là StealC (dựa trên số nhận dạng YARA). Đây (có thể) là một chiến dịch phần mềm độc hại mới của ai đó sử dụng StealC. Tôi thích nó. Cách sử dụng thư rác GitHub rất thú vị kết hợp với trình phân giải DNS lừa đảo trên Telegram. Nó có thể hữu ích vì tôi nghi ngờ Telegram sẽ nhanh chóng thực hiện hành động với các yêu cầu gỡ xuống.