Комментарии на GitHub используются для распространения вредоносного ПО Lumma Stealer в виде поддельных исправлений

GitHub используется для распространения вредоносной программы Lumma Stealer, похищающей информацию, в виде поддельных исправлений, опубликованных в комментариях к проекту.

Впервые о кампании сообщил один из авторов библиотеки teloxide rust, который отметил на Reddit, что получил пять различных комментариев к своим проблемам на GitHub, которые выдавали себя за исправления, но вместо этого распространяли вредоносное ПО.

Дальнейший обзор, проведенный BleepingComputer, выявил тысячи подобных комментариев, размещенных в самых разных проектах на GitHub, и все они предлагали фальшивые исправления чужих вопросов.

Решение предлагает людям загрузить защищенный паролем архив с сайта mediafire.com или через URL-адрес bit.ly и запустить находящийся в нем исполняемый файл. В текущей кампании пароль был «changeme» во всех комментариях, которые мы видели.

Реверс-инженер Николас Шерлок сообщил BleepingComputer, что за 3 дня было опубликовано более 29 000 комментариев, продвигающих эту вредоносную программу.

Щелчок по ссылке приводит посетителей на страницу загрузки файла под названием 'fix.zip', который содержит несколько DLL-файлов и исполняемый файл под названием x86_64-w64-ranlib.exe.

Запуск исполняемого файла на Any.Run показал, что это вредоносная программа для кражи информации Lumma Stealer.

Lumma Stealer - это продвинутый похититель информации, который при запуске пытается украсть файлы cookie, учетные данные, пароли, кредитные карты и историю просмотров из браузеров Google Chrome, Microsoft Edge, Mozilla Firefox и других браузеров на платформе Chromium.

Вредоносная программа также может похищать криптовалютные кошельки, приватные ключи и текстовые файлы с именами seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt и *.pdf, поскольку они, скорее всего, содержат приватные криптовалютные ключи и пароли.

Эти данные собираются в архив и отправляются обратно злоумышленнику, где он может использовать информацию в дальнейших атаках или продать ее на киберпреступных площадках.

Хотя сотрудники GitHub удаляют эти комментарии по мере их обнаружения, люди уже сообщили, что стали жертвами атаки.

Тем, кто запустил вредоносную программу, необходимо сменить пароли на всех своих аккаунтах, используя уникальный пароль для каждого сайта, и перевести криптовалюту на новый кошелек.

В прошлом месяце Check Point Research раскрыла аналогичную кампанию, проведенную угрожающими лицами Stargazer Goblin, которые создали вредоносную программу Distribution-as-a-Service (DaaS) из более чем 3 000 поддельных аккаунтов на GitHub для распространения вредоносного ПО, похищающего информацию.

Пока неясно, является ли эта кампания той же самой или новой, проводимой другими участниками.