techleakszone 🔥 26 访问量

昨日,两位不同人士就各自的GitHub项目与我取得联系

昨日,两位不同人士就各自的GitHub项目与我取得联系

关于GitHub上的新型恶意软件活动的深度分析

近日,我接到两位不同人士的消息,关于GitHub上发生的两起有关恶意软件的案例。来自“Tito”的私信提到有人声称在GitHub上找到一个针对“synara”项目的补丁(见图1),而另一位名为“Robert Z”的用户则通过电子邮件联系我,提到他在不同的GitHub项目中发现了类似的情况(见图2)。

事件概述

经过深入调查,发现多个名为“hb_patch_v1112”、“registry_patch_v0.1.7”、“rep_fix_v1.zip”、“sodium_fix_v1”、“log_fix_patch”等的文件在网上被传播(见图3)。这些文件实际上都是恶意程序的伪装。

  • 此事件似乎始于7月7日,活动正在迅速扩散。
  • 相关的用户在GitHub上创建了多个帐户,发布问题并留言称他们找到了一个补丁,虽然这种行为可能是自动化的,但其目的并不简单。

恶意软件分析

深入检查这些所谓的“补丁”后发现,它们是用Go语言编写的程序。当二进制文件被执行时,它会查询一个远程主机,该主机解析到Telegram平台。Telegram频道的描述中包含了一个指定网站的链接,而正是这个网站是恶意代码的泄露目的地。

技术细节与策略

这种传播方式的选择显然是为了更高效地应对被取缔的风险。攻击者可以迅速更改Telegram频道的描述,以指向新的payload网站。这一策略类似于“盗版DNS解析器”的机制(见图4)。

文件名 恶意活动说明
hb_patch_v1112 伪装的Go程序,包含恶意代码
registry_patch_v0.1.7 恶意软件,通过GitHub传播
rep_fix_v1.zip 使用Telegram进行流量泄露
sodium_fix_v1 包含可疑的远程链接
log_fix_patch 试图隐藏实际活动

总结与展望

综上所述,这一新型恶意软件活动标志着StealC的可能再度兴起(根据YARA标识符)。这种将GitHub垃圾信息与Telegram的不正规DNS解析工具相结合的方式,展示了网络安全领域的复杂性与挑战性。需要强调的是,Telegram在处理下架请求时的响应速度较慢,也为攻击者创造了有利环境。

保持警惕,加强对GitHub等开源平台的监控,将是保护开发者与用户的重要措施。