يتم إساءة استخدام GitHub لتوزيع البرامج الضارة لسرقة المعلومات Lumma Stealer كإصلاحات مزيفة تم نشرها في تعليقات المشروع.
تم الإبلاغ عن الحملة لأول مرة من قبل أحد المساهمين فيمكتبة صدأ التيلوكسيد، الذي لاحظ على ريديت أنهم تلقوا خمسة تعليقات مختلفة في مشكلاتهم على GitHub والتي تظاهرت بأنها إصلاحات ولكنها بدلاً من ذلك كانت تدفع بالبرامج الضارة.
كشفت مراجعة أخرى أجراها موقع BleepingComputer عن وجود آلاف التعليقات المشابهة المنشورة على مجموعة واسعة من المشاريع على GitHub، وكلها تقدم إصلاحات وهمية لأسئلة الآخرين.
يخبر الحل الأشخاص بتنزيل أرشيف محمي بكلمة مرور من موقع mediafire.com أو من خلال عنوان URL الخاص بـ bit.ly وتشغيل الملف القابل للتنفيذ بداخله. في الحملة الحالية، كانت كلمة المرور “changeme” في جميع التعليقات التي شاهدناها.
وقال المهندس العكسي نيكولاس شيرلوك لموقع BleepingComputer أنه تم نشر أكثر من 29000 تعليقًا تروج لهذا البرنامج الضار على مدار فترة ثلاثة أيام.
مصدر:أندريه بروسنيك
يؤدي النقر فوق الرابط إلى توجيه الزائرين إلى صفحة تنزيل ملف يسمى “fix.zip”، والذي يحتوي على بعض ملفات DLL وملف قابل للتنفيذ يسمى x86_64-w64-ranlib.exe.
المصدر: BleepingComputer
تشغيل الملف القابل للتنفيذ على أي تشغيل يشير إلى أن هذا هو برنامج Lumma Stealer الخبيث الذي يسرق المعلومات.
Lumma Stealer هو برنامج متقدم لسرقة المعلومات، والذي عند تنفيذه يحاول سرقة ملفات تعريف الارتباط وبيانات الاعتماد وكلمات المرور وبطاقات الائتمان وسجل التصفح من Google Chrome وMicrosoft Edge وMozilla Firefox ومتصفحات Chromium الأخرى.
يمكن للبرامج الضارة أيضًا سرقة محافظ العملات المشفرة والمفاتيح الخاصة و ملفات نصية مع الأسماء مثل seed.txt، وpass.txt، وledger.txt، وtrezor.txt، وmetamask.txt، وbitcoin.txt، وwords، وwallet.txt، و*.txt، و*.pdf، حيث من المحتمل أن تحتوي على مفاتيح تشفير وكلمات مرور خاصة.
يتم جمع هذه البيانات في أرشيف وإرسالها مرة أخرى إلى المهاجم، حيث يمكنه استخدام المعلومات في هجمات أخرى أو بيعها في أسواق الجرائم الإلكترونية.
بينما كان موظفو GitHub يحذفون هذه التعليقات فور اكتشافها، قام الأشخاص بالفعل تم الإبلاغ عن وقوعه في الهجوم.
بالنسبة لأولئك الذين قاموا بتشغيل البرامج الضارة، يجب عليك تغيير كلمات المرور في جميع حساباتك باستخدام كلمة مرور فريدة لكل موقع ونقل العملة المشفرة إلى محفظة جديدة.
في الشهر الماضي، كشفت شركة Check Point Research عن حملة مماثلة من قبل الجهات الفاعلة في مجال التهديد Stargazer Goblin، والتي أنشأت توزيع البرامج الضارة كخدمة (DaaS) من أكثر من 3000 حساب وهمي على GitHub لدفع البرمجيات الخبيثة التي تسرق المعلومات.
من غير الواضح ما إذا كانت هذه هي نفس الحملة أم حملة جديدة نفذها جهات تهديد مختلفة.