Комментарии на GitHub используются для распространения вредоносного ПО
Комментарии на GitHub используются для распространения вредоносного ПО. Фото: СС0
О кампании впервые сообщил участник библиотеки teloxide rust , который отметил на Reddit, что получил пять разных комментариев в своих записях на GitHub, которые выдавались за исправления, но на самом деле распространяли вредоносное ПО.
Дальнейший анализ, проведенный специалистами из Bleeping Computer, выявил тысячи похожих комментариев, опубликованных в самых разных проектах на GitHub, и все они предлагали фальшивые решения для вопросов других людей.
Решение предлагает людям загрузить защищенный паролем архив с mediafire.com или через URL bit.ly и запустить исполняемый файл внутри него. В текущей кампании пароль был «changeme» во всех комментариях, которые мы видели.
Обнаружено более 29 тыс. комментариев, распространяющих эту вредоносную программу.
При нажатии на ссылку посетители попадают на страницу загрузки файла под названием «fix.zip», который содержит несколько файлов DLL и исполняемый файл с именем x86_64-w64-ranlib.exe.
Запуск исполняемого файла на Any.Run указывает на то, что это вредоносная программа Lumma Stealer, крадущая информацию.
Lumma Stealer — это продвинутый похититель информации, который при запуске пытается украсть файлы cookie, учетные данные, пароли, данные кредитных карт и историю просмотров из Google Chrome, Microsoft Edge, Mozilla Firefox и других браузеров Chromium.
Вредоносная программа также может красть криптовалютные кошельки, закрытые ключи и текстовые файлы с такими именами, как seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt и *.pdf, поскольку они, скорее всего, содержат закрытые криптоключи и пароли.
Эти данные собираются в архив и отправляются обратно злоумышленнику, который может использовать эту информацию в дальнейших атаках или продать ее.
Хотя сотрудники GitHub удаляют подобные комментарии по мере их обнаружения, люди уже сообщили, что попались в ловушку хакеров.
Тем, кто запустил вредоносное ПО, необходимо сменить пароли на всех своих аккаунтах, используя уникальный пароль для каждого сайта, и перенести криптовалюту на новый кошелек, предупреждают специалисты.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было