Hai dự án GitHub khác biệt thu hút sự quan tâm của hai cá nhân trong ngày hôm qua

Đột Phá Trong Thế Giới GitHub: Phát Hiện Malware Mới
Ngày hôm qua, hai cá nhân khác nhau đã liên hệ với tôi về hai dự án khác nhau trên GitHub. Người đầu tiên, “Tito”, đã gửi tin nhắn trực tiếp về một bình luận trên GitHub, trong đó ai đó tuyên bố rằng họ đã tìm thấy một bản vá cho “synara”. Người thứ hai, “Robert Z”, đã gửi email với thông tin tương tự nhưng là về một dự án khác trên GitHub.
Khám Phá Thú Vị
Sau khi điều tra sâu hơn, tôi đã phát hiện ra rằng tệp tin này đã được tìm thấy trực tuyến với nhiều tên gọi khác nhau bao gồm:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Có vẻ như một ai đó đã tạo ra các tài khoản trên GitHub, mở các vấn đề và để lại bình luận nói rằng họ đã tìm thấy một bản vá (có khả năng là tự động). Tuy nhiên, bản vá này thực chất là malware.
Chiến Dịch Malware
Chiến dịch này dường như bắt đầu vào khoảng ngày 7 tháng 7 và đang lan rộng khá nhanh. Khi bạn kiểm tra mã nguồn bên trong, bạn sẽ thấy đó là một chương trình được viết bằng Go. Khi binary hoạt động, nó sẽ truy vấn một máy chủ từ xa, mà lại xác định địa chỉ đến ... Telegram.
Phương Pháp Tấn Công Mới
Mô tả của kênh Telegram chứa một website mà nơi đó mã độc sẽ được exfiltrate. Họ thực hiện theo cách này vì có thể nhanh chóng thay đổi mô tả kênh Telegram nếu website mà họ chỉ định bị gỡ bỏ. Nó gần giống như một bộ giải quyết DNS không chính thức.
Nhận Diện Malware: StealC
Vào lúc này, malware này được xác định là StealC (dựa trên các định dạng YARA). Đây có khả năng là một chiến dịch malware mới từ ai đó sử dụng StealC. Việc sử dụng spam trên GitHub kết hợp với giải quyết DNS không chính thức trên Telegram thật sự rất thông minh.
Bảng Tóm Tắt Các Thông Tin Liên Quan
| Tên Tệp | Bằng Chứng Đã Tìm Thấy | Loại Malware | Ngày Bắt Đầu |
|---|---|---|---|
| hb_patch_v1112 | Có | StealC | 07/07/2023 |
| registry_patch_v0.1.7 | Có | StealC | 07/07/2023 |
| rep_fix_v1.zip | Có | StealC | 07/07/2023 |
| sodium_fix_v1 | Có | StealC | 07/07/2023 |
| log_fix_patch | Có | StealC | 07/07/2023 |
Kết Luận
Cuối cùng, điều đáng chú ý là khả năng đáp ứng chậm trễ của Telegram khi có yêu cầu gỡ bỏ. Điều này có thể tạo điều kiện thuận lợi cho các cuộc tấn công này tiếp tục phát triển. Hãy cẩn trọng và chú ý đến các thông báo và hoạt động trên GitHub mà bạn tham gia.
TechOffice