techleakszone
🔥 23 访问量
昨日双重合作:两位不同开发者洽谈GitHub项目新机遇

近期GitHub上的恶意软件活动简析
在昨天,有两位不同的研究者通过私信和邮件联系了我,涉及两个不同的GitHub项目。
其中一位名为“Tito”的网友通过直接消息(DM)与我交流,他提到在GitHub上有人声称为项目“synara”提供了一个补丁(见图1)。
另一位名为“Robert Z”的研究者则通过电子邮件联系我,提到在另一个GitHub项目中发生了类似的情况(见图2)。
恶意补丁的调查
经过进一步调查,我发现相同的恶意文件在线出现,该文件命名为:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
总结来说,有人正在创建GitHub账户,主动在开放的问题下发表评论,声称他们发现了可用的补丁(很可能是自动化的行为)。然而,这些所谓的补丁实际上是恶意软件。
活动起始与传播情况
目前证据表明,此次恶意软件活动自7月7日(昨天)开始,传播速度相当迅速。
在深入分析该文件后,我发现其是用Go编写的程序。当该二进制文件运行时,它会查询一个远程主机,最终解析为Telegram的URL。Telegram频道描述中指定了一个网站,而这个网站正是恶意代码泄漏的目标。
攻击手法的创新性
这类攻击者选择这种方式的原因在于,如果指定的网站被关停,他们可以迅速更改Telegram频道的描述,从而规避检测。由此,这种攻击模式可以看作是一种非正规DNS解析器的应用(见图4)。
关于StealC恶意软件的反馈
综上所述,基于YARA标识符的分析,我们认为这可能是一个新的恶意软件活动,名为“StealC”。这一手法的结合无疑展示了GitHub垃圾信息与Telegram的特殊使用方式,我对此表示赞赏。这些攻击者或许意识到Telegram对删除请求的响应速度较慢,因此选取此渠道进行传播。
| 恶意软件名称 | 文件名示例 | 传播渠道 | 起始日期 |
|---|---|---|---|
| StealC | hb_patch_v1112, registry_patch_v0.1.7, rep_fix_v1.zip, sodium_fix_v1 | GitHub, Telegram | 2023年7月7日 |
在面对这样的网络威胁时,科研人员和开发者必须提高警惕,仔细审查来自开源平台的补丁和更新,以确保自身的网络安全。
TechOffice