techleakszone 🔥 23 访问量

昨日双重合作:两位不同开发者洽谈GitHub项目新机遇

昨日双重合作:两位不同开发者洽谈GitHub项目新机遇

近期GitHub上的恶意软件活动简析

在昨天,有两位不同的研究者通过私信和邮件联系了我,涉及两个不同的GitHub项目。

其中一位名为“Tito”的网友通过直接消息(DM)与我交流,他提到在GitHub上有人声称为项目“synara”提供了一个补丁(见图1)。

另一位名为“Robert Z”的研究者则通过电子邮件联系我,提到在另一个GitHub项目中发生了类似的情况(见图2)。

恶意补丁的调查

经过进一步调查,我发现相同的恶意文件在线出现,该文件命名为:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

总结来说,有人正在创建GitHub账户,主动在开放的问题下发表评论,声称他们发现了可用的补丁(很可能是自动化的行为)。然而,这些所谓的补丁实际上是恶意软件。

活动起始与传播情况

目前证据表明,此次恶意软件活动自7月7日(昨天)开始,传播速度相当迅速。

在深入分析该文件后,我发现其是用Go编写的程序。当该二进制文件运行时,它会查询一个远程主机,最终解析为Telegram的URL。Telegram频道描述中指定了一个网站,而这个网站正是恶意代码泄漏的目标。

攻击手法的创新性

这类攻击者选择这种方式的原因在于,如果指定的网站被关停,他们可以迅速更改Telegram频道的描述,从而规避检测。由此,这种攻击模式可以看作是一种非正规DNS解析器的应用(见图4)。

关于StealC恶意软件的反馈

综上所述,基于YARA标识符的分析,我们认为这可能是一个新的恶意软件活动,名为“StealC”。这一手法的结合无疑展示了GitHub垃圾信息与Telegram的特殊使用方式,我对此表示赞赏。这些攻击者或许意识到Telegram对删除请求的响应速度较慢,因此选取此渠道进行传播。

恶意软件名称 文件名示例 传播渠道 起始日期
StealC hb_patch_v1112, registry_patch_v0.1.7, rep_fix_v1.zip, sodium_fix_v1 GitHub, Telegram 2023年7月7日

在面对这样的网络威胁时,科研人员和开发者必须提高警惕,仔细审查来自开源平台的补丁和更新,以确保自身的网络安全。