Хакеры злоупотребляют GitHub для распространения малвари Lumma Stealer, ворующей информацию. Злоумышленники маскируют вредонос под фальшивые исправления, которые публикуют в комментариях к проектам.
Первым эту кампанию обнаружил один из авторов библиотеки teloxide rust, который предупредил на Reddit, что получил пять различных комментариев к своим issue на GitHub. Все они маскировались под исправления, но на самом деле продвигали вредоносное ПО.
Специалисты Bleeping Computer сообщают, что выявили тысячи аналогичных комментариев к самым разным проектам на GitHub, в которых содержались фейковые исправления. Так, злоумышленники предлагают людям загрузить защищенный паролем архив с mediafire.com или через короткий URL-адрес на bit.ly, а затем запустить находящийся в нем исполняемый файл.
Клик по такой ссылке приводит на страницу загрузки файла fix.zip, который содержит несколько DLL и исполняемый файл под названием x86_64-w64-ranlib.exe. Пароль от архива во всех изученных комментариях был одинаковым — «changeme».
Запуск исполняемого файла через Any.Run показал, что это малварь для кражи информации Lumma Stealer.
ИБ-специалист Николас Шерлок (Nicholas Sherlock) сообщает, что всего за три дня неизвестные атакующие опубликовали на GitHub более 29 000 комментариев, распространяющих Lumma.
Напомним, что в системе жертвы этот вредонос пытается украсть файлы cookie, учетные данные, пароли, данные банковских карт и историю просмотров из браузеров Google Chrome, Microsoft Edge, Mozilla Firefox и других Chromium-браузеров.
Также Lumma может похищать данные криптовалютных кошельков, приватные ключи и текстовые файлы с именами seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt и *.pdf, поскольку они, вероятно, содержат приватные ключи и пароли.
Хотя сотрудники GitHub удаляют вредоносные комментарии по мере обнаружения, многие люди сообщают, что пострадали от этой атаки.
Всем, кто запустил малварь, рекомендуется как можно скорее сменить пароли на всех своих аккаунтах, установив уникальный пароль для каждого сайта, и перевести криптовалюту на новый кошелек.