از GitHub به شکل نادرست استفاده میشود تا بدافزار Lumma Stealer که اطلاعات را سرقت میکند، توزیع شود. این بدافزار به صورت رفع ایرادهای جعلی (fake fixes) در نظرات پروژهها منتشر شده است. به عبارت دیگر، افراد خرابکار از GitHub سوءاستفاده میکنند و با قرار دادن کامنتهایی حاوی اصلاحات جعلی در پروژهها، سعی در انتشار بدافزار دارند.
یکی از مشارکتکنندگان در کتابخانهی teloxide که با زبان برنامهنویسی Rust نوشته شده، برای اولین بار این حمله را گزارش کرد. او در Reddit اشاره کرده که در بخش مشکلات (issues) پروژه خود در GitHub، پنج نظر متفاوت دریافت کرده که تظاهر به ارائه راهحلها و رفع ایرادها میکردند، اما در واقع در حال انتشار بدافزار بودند.
بررسیهای بیشتر نشان می دهد که هزاران نظر مشابه در پروژههای مختلف در GitHub ارسال شده است. تمامی این نظرات، راهحلها یا اصلاحات جعلی (fake fixes) را به پرسشهای دیگران ارائه میکردند. این نشان میدهد که این حمله بهطور گستردهای در GitHub گسترش یافته است.
راهحل ارائهشده به افراد میگوید که یک فایل فشرده (آرشیو) که با رمز عبور محافظت شده را از سایت mediafire.com یا از طریق یک لینک کوتاهشده bit.ly دانلود کنند و فایل اجرایی درون آن را اجرا کنند. در این حمله فعلی، رمز عبور برای باز کردن این فایل فشرده در تمامی نظراتی که بررسی شدهاند، “changeme” بوده است.
محقق امنیتی ، Nicholas Sherlock، اطلاع داده است که در طول یک دوره سه روزه، بیش از ۲۹,۰۰۰ نظر حاوی این بدافزار در GitHub ارسال شده است. به عبارت دیگر، این حمله در مدت کوتاهی بسیار گسترده بوده و تعداد زیادی نظر حاوی بدافزار منتشر شده است.
با کلیک کردن روی لینک، کاربران به صفحهای هدایت میشوند که در آن میتوانند فایلی به نام “fix.zip” را دانلود کنند. این فایل فشرده شامل چند فایل DLL و یک فایل اجرایی به نام “x86_64-w64-ranlib.exe” است.
اجرای این فایل اجرایی در پلتفرم Any.Run نشان میدهد که این فایل در واقع بدافزار Lumma Stealer است که برای سرقت اطلاعات طراحی شده است. Any.Run یک سرویس آنلاین برای تجزیه و تحلیل بدافزارها است و نتایج نشان میدهد که این فایل اجرایی حاوی بدافزار Lumma Stealer میباشد.
Lumma Stealer یک بدافزار پیشرفته برای سرقت اطلاعات است که وقتی اجرا میشود، سعی میکند کوکیها، مدارک، گذرواژهها، اطلاعات کارتهای اعتباری و تاریخچه مرورگر را از مرورگرهای Google Chrome، Microsoft Edge، Mozilla Firefox و دیگر مرورگرهای مبتنی بر Chromium سرقت کند.
این بدافزار همچنین میتواند کیفپولهای ارز دیجیتال، کلیدهای خصوصی، و فایلهای متنی با نامهایی مانند seed.txt، pass.txt، ledger.txt، trezor.txt، metamask.txt، bitcoin.txt، words، wallet.txt، فایلهای با پسوند *.txt و *.pdf را سرقت کند، زیرا احتمالاً این فایلها حاوی کلیدهای خصوصی ارزهای دیجیتال و گذرواژهها هستند.
این دادهها در یک فایل فشرده (آرشیو) جمعآوری شده و به مهاجم ارسال میشود. مهاجم میتواند از این اطلاعات برای حملات بیشتر استفاده کند یا آن را در بازارهای جرم سایبری بفروشد.
در حالی که کارکنان GitHub در حال حذف نظراتی هستند که شناسایی میکنند، افراد قبلاً گزارش دادهاند که به این حمله گرفتار شدهاند.
که برای کسانی که بدافزار را اجرا کردهاند، لازم است که رمزهای عبور تمامی حسابهای خود را تغییر دهند و برای هر سایت از یک رمز عبور منحصر به فرد استفاده کنند. همچنین باید ارزهای دیجیتال خود را به یک کیفپول جدید منتقل کنند.
در ماه گذشته، تحقیقاتی از سوی Check Point Research منتشر شد که نشان میداد گروههای تهدید Stargazer Goblin یک کمپین مشابهی راهاندازی کردهاند. این گروهها با استفاده از بیش از ۳,۰۰۰ حساب کاربری جعلی در GitHub، یک سرویس توزیع بدافزار ( Distribution-as-a-Service یا DaaS ) ایجاد کردهاند تا بدافزارهای سرقت اطلاعات را منتشر کنند.
مشخص نیست آیا این حمله همان کمپین قبلی است یا اینکه کمپین جدیدی است که توسط گروههای تهدید مختلف انجام شده است.
