techleakszone 🔥 21 Lượt truy cập

Hôm qua, hai cá nhân liên hệ với tôi về hai dự án khác nhau trên GitHub

Hôm qua, hai cá nhân liên hệ với tôi về hai dự án khác nhau trên GitHub
Chiến dịch Malware Mới Qua GitHub: Khám Phá StealC

Chiến Dịch Malware Qua GitHub: Khám Phá StealC

Gần đây, hai cá nhân đã liên hệ với tôi về hai dự án khác nhau trên GitHub, chỉ ra rằng một sự việc đáng lo ngại đang diễn ra trong cộng đồng lập trình. Cụ thể, người tên "Tito" đã nhắn tin cho tôi về một bình luận trên GitHub, nơi có người tuyên bố đã tìm ra một bản sửa lỗi cho dự án “synara”. Trong khi đó, "Robert Z" đã gửi email cho tôi về một vấn đề tương tự trên một dự án GitHub khác.

Các Tệp Tin Đáng Ngờ

Qua điều tra sâu hơn, tôi phát hiện ra rằng một tệp tin nhất định đã xuất hiện trên mạng, với các tên như:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

Những tệp tin này có vẻ như phần lớn do cùng một cá nhân hoặc nhóm ngầm tạo ra nhằm phân phối malware thông qua GitHub.

Hành Vi Độc Hại

Cá nhân hoặc nhóm này đang tạo ra các tài khoản trên GitHub, mở các vấn đề và để lại bình luận tuyên bố rằng họ đã phát hiện một bản sửa lỗi. Dường như đây là một hành động tự động hóa, tuy nhiên, bản sửa lỗi thực sự lại chính là malware.

Chiến Dịch Bắt Đầu

Dựa trên các phân tích, chiến dịch này bắt đầu từ khoảng ngày 7 tháng 7 và đang lan rộng rất nhanh chóng.

Cấu Trúc Malware

Khi xem xét kỹ lưỡng, mã nguồn bên trong malware này được viết bằng ngôn ngữ lập trình Go. Khi tệp nhị phân này được kích hoạt, nó sẽ truy vấn đến một máy chủ từ xa, nơi mà địa chỉ của nó lại giải quyết đến Telegram. Miêu tả của kênh Telegram này chỉ định một trang web cụ thể, nơi mà mã độc sẽ được exfiltrate.

Chiến Lược Thoát Ẩn

Nhóm này thực hiện chiến dịch này nhằm giảm thiểu rủi ro bị phát hiện. Họ có thể nhanh chóng thay đổi mô tả kênh Telegram nếu trang web chỉ định bị gỡ bỏ, tạo ra một dạng DNS resolver không chính thức.

Tóm Lược về StealC

Được xác định dựa trên các chỉ số YARA, malware này có tên gọi là StealC. Đây có thể là một chiến dịch mới đang diễn ra bởi những kẻ sử dụng StealC. Mặc dù không thể khẳng định 100%, nhưng cách mà hacker này kết hợp giữa spam trên GitHub và một giải pháp DNS không chính thức qua Telegram là rất tinh vi.

Đặc Điểm Chiến Dịch

Tên Tệp Tin Chức Năng
hb_patch_v1112 Được nghĩ là bản sửa lỗi giả
registry_patch_v0.1.7 Phân phối malware
rep_fix_v1.zip Chứa mã độc
sodium_fix_v1 Phát tán thông qua GitHub
log_fix_patch Phát tán thông qua các bình luận giả trên GitHub

Đánh Giá Cuối Cùng

Chúng ta đang chứng kiến một mối đe dọa tiềm tàng đến từ các hoạt động độc hại trên GitHub. Việc lạm dụng tài nguyên mở này không chỉ gây hại cho các dự án mà còn ảnh hưởng đến cả cộng đồng phát triển mã nguồn mở. Cảnh giác và nâng cao nhận thức về các phương thức lừa đảo trực tuyến là rất cần thiết trong tình hình này.