techleakszone 🔥 24 访问量

昨日两位不同人士就两个独立项目在GitHub上与我取得联系

昨日两位不同人士就两个独立项目在GitHub上与我取得联系

近期GitHub上发现恶意软件传播活动

在昨日,有两位不同的用户通过私信和邮件联系我,分别询问了两个不同的GitHub项目的相关情况。这一事件引发了我的关注,经过进一步调查,情况确实非同寻常。

用户反馈情况

  • Tito通过私信告知某人在GitHub上评论说发现了针对“synara”的补丁。
  • Robert Z则发邮件提到在另一个GitHub项目上类似的情况。

初步调查后,我发现自主上传的补丁文件在互联网上已被发现,并且这些文件以不同名字出现,包括:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

这些补丁文件的存在表明,有人正在创建多个GitHub帐户,主动在公共问题中发表评论,声称找到了解决方案。经过分析,发现这些补丁实际上是潜在的恶意软件。

恶意软件传播分析

该恶意软件传播活动的起始时间大致是在7月7日,其传播速度相当迅速。进一步深入研究该程序,发现它是用Go语言编写的。当该二进制文件运行后,会向一个远程主机发送请求,该主机解析为一个Telegram频道。

Telegram频道的描述中,有一个指向特定网站的链接。这个网站正是恶意代码的泄露目标。该组织选择这种方式是为了易于在被发现或关闭后,迅速更换Telegram频道中的描述链接,从而规避检测。这种行为在技术上类似于“非法DNS解析器”。

恶意软件特征与影响

根据YARA标识符的分析,这一恶意软件被命名为StealC。这可能是一个新兴的恶意软件活动,利用了GitHub平台的用户互动性和开放性,结合Telegram的特性,成立了一种新的传播渠道。这种模式的设计极具创新性,也让追踪与删除变得更加困难,因为Telegram可能在快速处理接到的举报请求方面存在不足。

总结

此次事件显示了开源平台的潜在安全风险。用户在下载与项目相关的补丁时应保持高度警惕,确保其源头是可信的。为了保护开发者和用户的安全,建议相关技术团队和平台运营者加强监测与防范机制,确保社区环境的安全和健康。

文件名称 描述 潜在风险
hb_patch_v1112 声称是针对某软件的修补程序 恶意软件
registry_patch_v0.1.7 类似的补丁文件 恶意软件
rep_fix_v1.zip 压缩文件格式恶意补丁 恶意软件
sodium_fix_v1 另一种表面合法的修补程序 恶意软件
log_fix_patch 未知来源补丁 恶意软件

保持警惕,并采取必要的预防措施,确保自己的开发环境不被恶意软件入侵。此乃保护技术社区、确保开源软件安全的责任所在。