Uważaj na złośliwe oprogramowanie ukryte pod postacią poprawek w komentarzach GitHub

Ostatnie wydarzenia pokazują, że użytkownicy GitHub narażeni są na ryzyko stania się ofiarą wyrafinowanego oszustwa internetowego polegającego na rozpowszechnianiu złośliwego oprogramowania za pośrednictwem komentarzy na platformie. Atakujący znaleźli sposób na wykorzystanie funkcji komentarzy GitHub – wstrzykują niesławne złośliwe oprogramowanie Lumma Stealer za pomocą komentarzy fałszywie przedstawianych jako rozwiązania problemów z kodowaniem.

Nowa taktyka cyberprzestępców

Złośliwe komentarze zauważone przez współpracownika biblioteki Rust.
Oszustwo zostało po raz pierwszy zauważone przez jednego ze współautorów biblioteki Rust „teloxide”, który zauważył wiele komentarzy na swoim GitHubie sugerujących „poprawki” zawierające złośliwe oprogramowanie.

Jak donosi serwis BleepingComputer po zbadaniu sprawy, taka taktyka była szeroko stosowana – w ciągu trzech dni pojawiło się ponad 29 000 złośliwych komentarzy.

Nieuczciwe komentarze często nakłaniały użytkowników do pobierania zabezpieczonych hasłem archiwów zawierających szkodliwe pliki wykonywalne z popularnych witryn służących do udostępniania plików.

Oprogramowanie Lumma Info-Stealer rozprzestrzenia się za pośrednictwem pozornie pomocnych komentarzy

Po uruchomieniu rzekomej łatki złośliwe oprogramowanie agresywnie zbiera poufne dane z różnych źródeł na zainfekowanym urządzeniu, w tym historię przeglądanych stron, hasła, dane kart kredytowych, a nawet portfele kryptowalut z przeglądarek i pliki tekstowe, które mogą zawierać klucze prywatne.

Chociaż GitHub aktywnie usuwa te złośliwe komentarze w miarę ich pojawiania się, osoby atakujące zdążyły już wyrządzić znaczne szkody, narażając na niebezpieczeństwo wielu użytkowników.

Dotknięci użytkownicy proszeni o zmianę wszystkich haseł

Użytkownikom, którzy dadzą się nabrać na złośliwą kampanię i uruchomią plik wykonywalny, zaleca się natychmiastową zmianę haseł do kont i zabezpieczenie zasobów cyfrowych. Aby zapobiec atakom typu credential stuffing, użytkownicy powinni ustawić unikalne hasła dla każdego ze swoich kont.

Ta metoda ataku wykorzystuje skradzione dane uwierzytelniające z poprzednich naruszeń i zakłada, że wielu użytkowników używa tego samego hasła na wielu platformach. Używanie odrębnych haseł dla każdego konta może udaremnić te próby, ponieważ naruszenie jednego hasła nie naraża innych kont.

Nie pierwsza próba wykorzystania komentarzy GitHub jako broni

To nie pierwszy raz, gdy komentarze GitHub zostały wykorzystane do rozprzestrzeniania złośliwego oprogramowania. Poprzedni incydent wykorzystywał lukę w sieci dostarczania treści (CDN) GitHub, umożliwiając sprawcom hostowanie i dystrybucję złośliwego oprogramowania.

Atakujący cyberprzestępcy maskowali złośliwe pliki, wykorzystując adresy URL Microsoft GitHub i tworzyli pozory legalności, powiązując je z zaufanymi repozytoriami.

Odpieranie złośliwego oprogramowania i innych włamań cyfrowych

Specjalistyczne antywirusowe oprogramowanie może dać Ci przewagę w walce ze złośliwym oprogramowaniem kradnącym informacje i innymi zagrożeniami cyfrowymi.

„Skuteczny antywirus wykrywa i chroni przed wirusami, trojanami, robakami, oprogramowaniem szpiegującym, oprogramowaniem wymuszającym okup, rootkitami i atakami typu zero-day. Dlatego ochrona wszystkich urządzeń za pomocą oprogramowania zabezpieczającego jest niezbędna do zapewnienia sobie cyfrowego bezpieczeństwa” – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.