Hôm qua, hai cá nhân khác nhau đã liên hệ với tôi về hai dự án khác nhau trên GitHub

Tổng Quan Về Chiến Dịch Malware Trên GitHub
Gần đây, hai người khác nhau đã liên hệ với tôi về hai dự án khác nhau trên GitHub, dẫn đến việc tôi khám phá một chiến dịch quy mô lớn liên quan đến malware.
- Tito: Đã nhắn tin trực tiếp về một bình luận trên GitHub liên quan đến một "patch" cho dự án "synara".
- Robert Z: Đã gửi email về một bình luận tương tự trên một dự án GitHub khác.
Điều này thực sự gây sự chú ý. Sau khi tiến hành điều tra sâu hơn, tôi phát hiện ra rằng có một tập tin cụ thể đã được tìm thấy trực tuyến mang tên:
| Tên Tập Tin |
|---|
| hb_patch_v1112 |
| registry_patch_v0.1.7 |
| rep_fix_v1.zip |
| sodium_fix_v1 |
| log_fix_patch |
Phương Thức Hoạt Động Của Chiến Dịch
Về cơ bản, có thể thấy rằng một nhóm người đang tạo ra các tài khoản trên GitHub, sau đó vào các vấn đề đang mở và để lại bình luận rằng họ đã phát hiện ra một "patch". Có khả năng điều này xảy ra tự động, nhưng không quan trọng.
Chiến dịch này dường như bắt đầu vào khoảng ngày 7 tháng 7 và đang lan nhanh chóng trong cộng đồng. Khi phân tích mã nguồn bên trong, nó là một chương trình được viết bằng ngôn ngữ Go.
Cách Thức Lây Lan
Khi binary được kích hoạt, nó sẽ truy vấn một máy chủ từ xa mà có địa chỉ thuộc về Telegram. Mô tả kênh Telegram chỉ định một trang web, trong đó mã payload sẽ được truyền đi.
Nhóm này sử dụng phương thức này bởi vì họ có thể nhanh chóng thay đổi mô tả của kênh Telegram nếu trang web họ chỉ định bị gỡ bỏ. Đây thực sự là một loại trình phân giải DNS "chui".
Phân Tích Malware
Các đặc điểm của malware này dường như liên quan đến StealC, dựa trên các định danh YARA. Đây có khả năng là một chiến dịch malware mới do một đối tượng sử dụng StealC thực hiện. Sự kết hợp giữa spam trên GitHub và trình phân giải DNS "chui" qua Telegram thật sự là một phương thức tinh vi. Đặc biệt, tôi nghi ngờ rằng Telegram sẽ không phản ứng nhanh chóng với các yêu cầu gỡ bỏ.
Kết Luận
Cuối cùng, chiến dịch này mở ra nhiều câu hỏi về sự an toàn và bảo mật trong cộng đồng mã nguồn mở. Việc nhận diện và đối phó với loại malware này là một nhiệm vụ cần thiết. Mọi người cần phải cảnh giác và chủ động hơn trong việc kiểm tra các bình luận và tập tin mà họ tải xuống từ các nền tảng như GitHub.
TechOffice