新的合作机会揭晓:两个独特的 GitHub 项目激发兴趣

新兴恶意软件活动利用 GitHub 进行分发
在网络安全领域的一个令人担忧的发展中,出现了有关利用 GitHub 作为分发平台的新恶意软件活动的报告。这一披露是根据两个不同来源的沟通得出的,强调了与不同 GitHub 项目相关的类似发现。
初步报告和发现
7 月 7 日,两个人(一个名为“Tito”,另一个名为“Robert Z”)报告了与 GitHub 相关的可疑活动。 Tito 的担忧集中在对一个名为 synara 的项目的评论上,声称已发现补丁。同样,Robert Z 引用了另一个 GitHub 项目中单独发生的事件。这两个案例都激起了人们的好奇心,并对这些所谓补丁的可信度敲响了警钟。
调查结果
深入调查发现了一个令人震惊的模式。相同的文件名出现在多个上下文中,包括:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
证据表明,个人或团体正在自动创建帐户,以对各个项目中的未解决问题发表评论,并错误地声称提供软件漏洞补丁。令人担忧的是,这些所谓的补丁实际上是恶意软件。
恶意软件的结构
经分析,这些评论中发现的恶意软件是用Go编写的。执行时,它会对解析为 Telegram 的远程主机执行查询。至关重要的是,与该主机关联的 Telegram 频道包含指向指定网站的链接,恶意软件负载在该网站上重定向其渗透工作。
动态联动和规避策略
这种操作方法似乎是为瞬时适应性而精心设计的。通过维护动态 Telegram 频道描述,犯罪者可以在网站被删除时轻松更改网站链接,从而有效地充当临时 DNS 解析器。这种创新但邪恶的策略使预防措施变得复杂,并有恶意软件进一步传播的风险。
StealC 恶意软件的识别
根据 YARA 标识符,当前的恶意软件变种已被归类为 StealC。这一发现表明网络犯罪活动可能会发生演变,将传统的 GitHub 垃圾邮件技术与 Telegram 等现代通信渠道相结合。该活动展示了一种巧妙但危险的适应方式,可以利用两个平台的漏洞。
影响和反应
这一新兴恶意软件活动的现实凸显了开发者社区提高警惕的必要性。 GitHub 和 Telegram 可能需要加强在用户教育和主动删除机制方面的协作努力,以减轻这一日益严重的威胁。
结论
总而言之,通过社交编码平台和消息传递渠道传播恶意软件的交叉点给网络安全带来了新的挑战。我们敦促用户在与 GitHub 上的评论或可下载内容交互时务必小心。随着这种情况的发展,加强审查和提高认识对于应对不断变化的网络威胁至关重要。
昨天,两个不同的人就 GitHub 上的两个不同项目联系我。 “Tito”私信我,说有人在 GitHub 上发表评论,声称有“synara”补丁(图 1) “Robert Z”在另一个 GitHub 项目上通过电子邮件发送了类似的内容(图 2)。 有趣的。 经过进一步调查,发现这个确切的文件是在网上发现的,名为: - hb_patch_v1112 -registry_patch_v0.1.7 -rep_fix_v1.zip - 钠_修复_v1 - 日志修复补丁 哈哈哈哈哈哈(图3) 基本上,有人在 GitHub 上创建帐户,打开问题,并留下评论说他们找到了补丁(这可能是自动化的,但无论如何)。该补丁是恶意软件。 该活动似乎于 7 月 7 日(昨天)左右开始,并且进展得相当快。 当你查看内部时(呵呵愚蠢的参考),它是一个用 Go 编写的程序。当二进制文件引爆时,它会查询远程主机,该主机解析为……电报。 Telegram 频道描述指定了一个网站。 Telegram 描述中的网站也是有效负载窃取代码的地方。 他们这样做是因为,如果他们指定的网站被删除,他们可以快速更改 Telegram 频道描述。它基本上是一个盗版 DNS 解析器(图 4)。 无论如何,这是 StealC(基于 YARA 标识符)。这(可能)是某人使用 StealC 发起的新恶意软件活动。我喜欢它。 GitHub 垃圾邮件与 Telegram 上的盗版 DNS 解析器的结合使用非常酷。这可能会有所帮助,因为我怀疑 Telegram 是否会迅速对删除请求采取行动。 昨天,两个不同的人就 GitHub 上的两个不同项目联系了我。 “Tito”私信我,说有人在 GitHub 上发表评论,声称有“synara”补丁(图 1) “Robert Z”在另一个 GitHub 项目上通过电子邮件发送了类似的内容(图 2)。 有趣的。 经过进一步调查,发现这个确切的文件是在网上发现的,名为: - hb_patch_v1112 -registry_patch_v0.1.7 -rep_fix_v1.zip - 钠_修复_v1 - 日志修复补丁 哈哈哈哈哈哈(图3) 基本上,有人在 GitHub 上创建帐户,打开问题,并留下评论说他们找到了补丁(这可能是自动化的,但无论如何)。该补丁是恶意软件。 该活动似乎于 7 月 7 日(昨天)左右开始,并且进展得相当快。 当你查看内部时(呵呵愚蠢的参考),它是一个用 Go 编写的程序。当二进制文件引爆时,它会查询远程主机,该主机解析为……电报。 Telegram 频道描述指定了一个网站。 Telegram 描述中的网站也是有效负载窃取代码的地方。 他们这样做是因为,如果他们指定的网站被删除,他们可以快速更改 Telegram 频道描述。它基本上是一个盗版 DNS 解析器(图 4)。 无论如何,这是 StealC(基于 YARA 标识符)。这(可能)是某人使用 StealC 发起的新恶意软件活动。我喜欢它。 GitHub 垃圾邮件与 Telegram 上的盗版 DNS 解析器的结合使用非常酷。这可能会有所帮助,因为我怀疑 Telegram 是否会迅速对删除请求采取行动。
TechOffice