Une campagne de menace intelligente abuse des référentiels GitHub pour distribuer le malware voleur de mots de passe Lumma Stealer ciblant les utilisateurs qui fréquentent un référentiel de projet open source ou sont abonnés aux notifications par e-mail de celui-ci.
Un utilisateur malveillant de GitHub ouvre un nouveau » problème « sur un référentiel open source affirmant à tort que le projet contient une » vulnérabilité de sécurité « et exhorte les autres à visiter un domaine contrefait de » Scanner GitHub ». Le domaine en question, cependant, n’est pas associé à GitHub et incite les utilisateurs à installer des logiciels malveillants Windows.
Pour rendre les choses encore plus intéressantes, les utilisateurs et les contributeurs de ces référentiels reçoivent ces « IMPORTANT! »des alertes par e-mail provenant de serveurs GitHub légitimes chaque fois qu’un acteur malveillant dépose un nouveau problème sur un référentiel, ce qui rend cette campagne de phishing plus convaincante.
Fausses alertes par e-mail de « vulnérabilité de sécurité »
Les utilisateurs de GitHub ont reçu des notifications par courrier électronique cette semaine les exhortant à corriger une fausse « vulnérabilité de sécurité » dans un dépôt de projet auquel ils ont contribué ou auquel ils sont abonnés.
Les utilisateurs sont invités à visiter » github-scanner[.] com » pour en savoir plus sur le prétendu problème de sécurité.
Pour rendre le leurre plus convaincant, l’e-mail provient d’une adresse e-mail GitHub légitime, [email protected], et est signé « Meilleures salutations, Équipe de sécurité Github » dans le corps du message.
Le domaine, github-scanner[.] com n’est pas affilié à GitHub et est utilisé pour fournir des logiciels malveillants aux visiteurs.
Lors de la visite du domaine, les utilisateurs sont accueillis par un faux captcha les invitant à « vérifier que vous êtes un humain. »
Le code JavaScript en coulisses, illustré ci-dessous, récupère un autre téléchargement de fichier.txt, également hébergé sur github-scanner[.] com. Le fichier contient des instructions PowerShell pour télécharger un ‘l6E.exe’ Exécutable Windows du même domaine, enregistrez – le sous » SysSetup.exe » dans un répertoire temporaire, et exécutez-le.
Comme identifié par plusieurs moteurs antivirus à l’heure actuelle, ce ‘l6E.exe » [VirusTotal analysis] est un cheval de Troie et est équipé de capacités d’anti-détection et de persistance.
Une fois exécuté, le logiciel malveillant tente de contacter plusieurs domaines suspects, dont la plupart sont en panne au moment de la rédaction:
eemmbryequo.shop
keennylrwmqlw.shop
licenseodqwmqn.shop
reggwardssdqw.shop
relaxatinownio.shop
tendencctywop.shop
tesecuuweqo.shop
tryyudjasudqo.shop
Breachtrace a confirmé que le logiciel malveillant est le logiciel malveillant de vol d’informations Lumma Stealer, utilisé pour voler des informations d’identification, des cookies d’authentification et l’historique de navigation des navigateurs Web installés.
Le logiciel malveillant est également capable de voler des portefeuilles de crypto-monnaie ou des fichiers susceptibles de contenir des informations sensibles sur l’appareil infecté.
Déclenché par des « problèmes » sur GitHub
Quant à savoir comment ces notifications par e-mail sont déclenchées? Le secret de cela est la fonctionnalité « Problèmes » de GitHub qui est utilisée de manière abusive par les acteurs de la menace pour inonder les référentiels open source et pousser cette campagne.
Les auteurs de menaces créent des comptes d’utilisateurs GitHub pseudonymes et les utilisent pour ouvrir un nouveau « Problème » sur un projet open source amenant d’autres personnes à visiter le domaine contrefait du scanner GitHub.
Le contenu de ce numéro sera diffusé sous forme d’alertes par courrier électronique, à partir des serveurs officiels de GitHub, à ceux qui se sont abonnés au référentiel open source en question.
Les utilisateurs doivent s’abstenir d’ouvrir des liens et des pièces jointes dans de tels courriels et signaler les « problèmes » correspondants à GitHub pour enquête.
Cet incident démontre une autre façon dont des plates-formes extrêmement populaires comme GitHub peuvent être abusées par des utilisateurs néfastes.
Le mois dernier, Breachtrace a signalé que des acteurs de la menace répondaient aux questions des utilisateurs sur les problèmes de GitHub avec de faux correctifs qui installaient également le logiciel malveillant Lumma Stealer.
Ces campagnes visent probablement à voler les informations d’identification des développeurs pour accéder au code source ou aux projets, qui peuvent ensuite être modifiés avec du code malveillant pour mener des attaques sur la chaîne d’approvisionnement.