Cơ hội hợp tác mới được hé lộ: Hai dự án GitHub độc đáo thu hút sự quan tâm

Chiến dịch phần mềm độc hại mới nổi khai thác GitHub để phân phối
Trong một diễn biến đáng lo ngại trong bối cảnh an ninh mạng, đã xuất hiện các báo cáo liên quan đến một chiến dịch phần mềm độc hại mới sử dụng GitHub làm nền tảng phân phối. Tiết lộ này được đưa ra sau thông tin liên lạc từ hai nguồn riêng biệt, nêu bật những phát hiện tương tự liên quan đến các dự án GitHub riêng biệt.
Báo cáo ban đầu và khám phá
Vào ngày 7 tháng 7, hai cá nhân—một người tên là "Tito" và người kia tên "Robert Z"—đã báo cáo các hoạt động đáng ngờ có liên quan đến GitHub. Mối quan tâm của Tito tập trung vào một bình luận về một dự án có tiêu đề synara, cho rằng một bản vá đã được phát hiện. Tương tự, Robert Z đã trích dẫn một sự kiện riêng biệt trong một dự án GitHub khác. Cả hai trường hợp đều khơi dậy sự tò mò và đưa ra cảnh báo về độ tin cậy của các bản vá được cho là này.
Kết quả điều tra
Đi sâu hơn vào cuộc điều tra đã tiết lộ một mô hình đáng báo động. Tên tệp giống nhau xuất hiện trên nhiều ngữ cảnh, bao gồm:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- natri_fix_v1
- log_fix_patch
Bằng chứng cho thấy rằng một cá nhân hoặc nhóm đang tự động tạo tài khoản để đưa ra nhận xét về các vấn đề còn tồn tại trong nhiều dự án khác nhau, tuyên bố sai sự thật rằng họ cung cấp bản vá cho các lỗ hổng phần mềm. Điều đáng báo động là những cái gọi là bản vá này thực chất là phần mềm độc hại.
Cấu trúc của phần mềm độc hại
Sau khi phân tích, phần mềm độc hại được xác định trong các nhận xét này được viết bằng Go. Khi được thực thi, nó sẽ thực hiện một truy vấn tới một máy chủ từ xa phân giải sang Telegram. Điều quan trọng là kênh Telegram được liên kết với máy chủ này chứa liên kết đến một trang web cụ thể, nơi phần mềm độc hại chuyển hướng nỗ lực lọc của nó.
Chiến thuật liên kết động và né tránh
Phương pháp hoạt động này dường như được thiết kế một cách chiến lược để có khả năng thích ứng tức thời. Bằng cách duy trì mô tả kênh Telegram động, thủ phạm có thể dễ dàng thay đổi liên kết trang web trong trường hợp bị gỡ xuống, hoạt động hiệu quả như một trình phân giải DNS tạm thời. Chiến thuật sáng tạo nhưng bất chính này làm phức tạp thêm các biện pháp phòng ngừa và có nguy cơ lây lan thêm phần mềm độc hại.
Xác định phần mềm độc hại StealC
Dựa trên số nhận dạng YARA, biến thể phần mềm độc hại hiện tại đã được phân loại là StealC. Tiết lộ này cho thấy một sự phát triển tiềm năng trong các hoạt động tội phạm mạng, kết hợp các kỹ thuật spam GitHub truyền thống với các kênh liên lạc hiện đại như Telegram. Chiến dịch giới thiệu một cách thích ứng thông minh nhưng nguy hiểm để khai thác lỗ hổng trên cả hai nền tảng.
Ý nghĩa và phản hồi
Thực tế của chiến dịch phần mềm độc hại mới nổi này nhấn mạnh sự cần thiết phải nâng cao cảnh giác trong cộng đồng nhà phát triển. Cả GitHub và Telegram có thể cần phải tăng cường nỗ lực hợp tác hướng tới giáo dục người dùng và cơ chế gỡ bỏ chủ động để giảm thiểu mối đe dọa ngày càng tăng này.
Kết luận
Tóm lại, sự giao thoa giữa việc phân phối phần mềm độc hại thông qua các nền tảng mã hóa xã hội và các kênh nhắn tin đặt ra một thách thức mới cho an ninh mạng. Người dùng được khuyến khích thận trọng khi tương tác với nhận xét hoặc nội dung có thể tải xuống trên GitHub. Khi tình huống này diễn ra, việc tăng cường giám sát và nhận thức sẽ là điều cần thiết trong việc chống lại bối cảnh ngày càng gia tăng của các mối đe dọa mạng.
Hôm qua, có hai người khác nhau đã liên hệ với tôi về hai dự án khác nhau trên GitHub. "Tito" DM cho tôi về việc ai đó bình luận trên GitHub tuyên bố có bản vá cho "synara" (Ảnh 1) "Robert Z" đã gửi email về điều gì đó tương tự trên một dự án GitHub khác (hình 2). Hấp dẫn. Sau khi điều tra sâu hơn, hóa ra tập tin chính xác này đã được phát hiện trực tuyến có tên: -hb_patch_v1112 - đăng ký_patch_v0.1.7 -rep_fix_v1.zip - natri_fix_v1 - log_fix_patch bla bla bla (ảnh 3) Về cơ bản, ai đó đang tạo tài khoản trên GitHub, mở các vấn đề và để lại nhận xét cho biết họ đã tìm thấy bản vá (có thể là tự động, nhưng sao cũng được). Bản vá là phần mềm độc hại. Có vẻ như chiến dịch này đã bắt đầu vào khoảng ngày 7 tháng 7 (hôm qua) và đang diễn ra khá nhanh chóng. Khi bạn nhìn vào bên trong (hehe tài liệu tham khảo ngớ ngẩn) đó là một chương trình được viết bằng Go. Khi hệ nhị phân phát nổ, nó truy vấn một máy chủ từ xa và phân giải thành ... Telegram. Mô tả kênh Telegram chỉ định một trang web. Trang web trong phần mô tả của Telegram cũng là nơi tải trọng lọc mã. Họ làm theo cách này vì họ có thể nhanh chóng thay đổi mô tả kênh Telegram nếu trang web họ chỉ định bị gỡ xuống. Về cơ bản nó là một trình phân giải DNS lậu (hình 4). Dù sao thì đây là StealC (dựa trên số nhận dạng YARA). Đây (có thể) là một chiến dịch phần mềm độc hại mới của ai đó sử dụng StealC. Tôi thích nó. Cách sử dụng thư rác GitHub rất thú vị kết hợp với trình phân giải DNS lừa đảo trên Telegram. Nó có thể hữu ích vì tôi nghi ngờ Telegram sẽ nhanh chóng thực hiện hành động với các yêu cầu gỡ xuống. Hôm qua có hai người khác nhau đã liên hệ với tôi về hai dự án khác nhau trên GitHub. "Tito" DM cho tôi về việc ai đó bình luận trên GitHub tuyên bố có bản vá cho "synara" (Ảnh 1) "Robert Z" đã gửi email về điều gì đó tương tự trên một dự án GitHub khác (hình 2). Hấp dẫn. Sau khi điều tra sâu hơn, hóa ra tập tin chính xác này đã được phát hiện trực tuyến có tên: -hb_patch_v1112 - đăng ký_patch_v0.1.7 -rep_fix_v1.zip - natri_fix_v1 - log_fix_patch bla bla bla (ảnh 3) Về cơ bản, ai đó đang tạo tài khoản trên GitHub, mở các vấn đề và để lại nhận xét cho biết họ đã tìm thấy bản vá (có thể là tự động, nhưng sao cũng được). Bản vá là phần mềm độc hại. Có vẻ như chiến dịch này đã bắt đầu vào khoảng ngày 7 tháng 7 (hôm qua) và đang diễn ra khá nhanh chóng. Khi bạn nhìn vào bên trong (hehe tài liệu tham khảo ngớ ngẩn) đó là một chương trình được viết bằng Go. Khi hệ nhị phân phát nổ, nó truy vấn một máy chủ từ xa và phân giải thành ... Telegram. Mô tả kênh Telegram chỉ định một trang web. Trang web trong phần mô tả của Telegram cũng là nơi tải trọng lọc mã. Họ làm theo cách này vì họ có thể nhanh chóng thay đổi mô tả kênh Telegram nếu trang web họ chỉ định bị gỡ xuống. Về cơ bản nó là một trình phân giải DNS lậu (hình 4). Dù sao thì đây là StealC (dựa trên số nhận dạng YARA). Đây (có thể) là một chiến dịch phần mềm độc hại mới của ai đó sử dụng StealC. Tôi thích nó. Cách sử dụng thư rác GitHub rất thú vị kết hợp với trình phân giải DNS lừa đảo trên Telegram. Nó có thể hữu ích vì tôi nghi ngờ Telegram sẽ nhanh chóng thực hiện hành động với các yêu cầu gỡ xuống.
TechOffice