GitHub est utilisé abusivement pour distribuer le logiciel malveillant de vol d’informations Lumma Stealer sous forme de faux correctifs publiés dans les commentaires du projet.

La campagne a été signalée pour la première fois par un contributeur à la bibliothèque teloxide rust, qui a noté sur Reddit qu’ils avaient reçu cinq commentaires différents dans leurs problèmes GitHub qui prétendaient être des correctifs mais poussaient plutôt des logiciels malveillants.

Un examen plus approfondi par Breachtrace a trouvé des milliers de commentaires similaires publiés sur un large éventail de projets sur GitHub, offrant tous de faux correctifs aux questions des autres.

La solution indique aux utilisateurs de télécharger une archive protégée par mot de passe à partir de mediafire.com ou par un bit.ly URL et exécutez l’exécutable qu’il contient. Dans la campagne actuelle, le mot de passe a été « change-moi » dans tous les commentaires que nous avons vus.

Nicholas Sherlock, ingénieur en rétro-ingénierie, a déclaré à Breachtrace que plus de 29 000 commentaires poussant ce logiciel malveillant avaient été publiés sur une période de 3 jours.

Fausse réponse à un problème de GitHub poussant le malware Lumma Stealer

En cliquant sur le lien, les visiteurs accèdent à une page de téléchargement d’un fichier appelé « correctif ».zip, ‘ qui contient quelques fichiers DLL et un exécutable nommé x86_64-w64-ranlib.exé.

Archive contenant le programme d’installation de Lumma Stealer

Exécution de l’exécutable sur Any.Exécuter indique qu’il s’agit du logiciel malveillant de vol d’informations Lumma Stealer.

Lumma Stealer est un voleur d’informations avancé qui, lorsqu’il est exécuté, tente de voler des cookies, des informations d’identification, des mots de passe, des cartes de crédit et l’historique de navigation de Google Chrome, Microsoft Edge, Mozilla Firefox et d’autres navigateurs Chromium.

Le logiciel malveillant peut également voler des portefeuilles de crypto-monnaie, des clés privées et des fichiers texte portant des noms tels que seed.sms, passe.txt, grand livre.sms, trezor.txt, métamasque.SMS, bitcoin.sms, mots, portefeuille.SMS,*.txt, et *.pdf, car ceux-ci sont susceptibles de contenir des clés cryptographiques privées et des mots de passe.

Ces données sont collectées dans une archive et renvoyées à l’attaquant, où il peut utiliser les informations dans d’autres attaques ou les vendre sur des places de marché de la cybercriminalité.

Alors que le personnel de GitHub a supprimé ces commentaires au fur et à mesure qu’ils sont détectés, des personnes ont déjà signalé avoir succombé à l’attaque.

Pour ceux qui ont exécuté le logiciel malveillant, vous devez modifier les mots de passe de tous vos comptes en utilisant un mot de passe unique pour chaque site et migrer la crypto-monnaie vers un nouveau portefeuille.

Le mois dernier, Check Point Research a révélé une campagne similaire menée par les acteurs de la menace gobelin Stargazer, qui ont créé une distribution de logiciels malveillants en tant que service (DaaS) à partir de plus de 3 000 faux comptes sur GitHub pour pousser des logiciels malveillants voleurs d’informations.

Il n’est pas clair s’il s’agit de la même campagne ou d’une nouvelle campagne menée par différents acteurs de la menace.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *