一种新颖攻击方法:巧妙利用“GitHub Scanner”活动滥用存储库来推送恶意软件

最近,一项巧妙的威胁活动利用 GitHub 仓库传播 Lumma Stealer 密码窃取恶意软件,目标是那些活跃在开源项目仓库中的用户,或者是订阅了该项目邮件通知的用户。

具体来说,恶意 GitHub 用户会在开源项目仓库中发布一个新的"issue",虚假声称该项目存在"安全漏洞",并诱导其他人访问一个伪造的"GitHub Scanner"网站。然而,这个网站并不与 GitHub 相关联,它实际上是用来欺骗用户下载并安装 Windows 恶意软件。

为了让这一钓鱼攻击看起来更具说服力,仓库的用户和贡献者每次有恶意用户在仓库中提交新问题时,都会收到来自 GitHub 服务器的"重要"电子邮件提醒,使得整个钓鱼活动更加逼真。

虚假的"安全漏洞"邮件警报

本周,GitHub 用户收到了一封邮件通知,内容称他们曾参与的开源项目仓库存在"安全漏洞"。邮件鼓励用户访问"github-scanner[.]com"以了解更多有关所谓安全问题的信息。

为了让这一诱饵更加可信,邮件看起来像是来自 GitHub 的官方邮箱地址(notifications@github.com),并在邮件正文中签名为"Best regards, Github Security Team"。

然而,github-scanner[.]com 并非 GitHub 的正规域名,它实际上是用来分发恶意软件的。

当用户访问这个域名时,页面上会出现一个虚假的验证码,要求用户"验证自己是人类"。

虚假的验证码页面

用户点击"我不是机器人"后,页面中的 JavaScript 代码会在后台悄悄将恶意代码复制到用户的剪贴板。

接着,页面会提示用户执行 Windows 运行命令(按下 Windows+R 键组合),并将复制的内容粘贴到"运行"对话框中。

此时,隐藏在背后的 JavaScript 代码会从该域名下载一个名为 download.txt 的文件。该文件包含 PowerShell 指令,下载名为 'l6E.exe' 的 Windows 可执行文件,并将其保存为"SysSetup.exe"到临时目录中执行。

恶意 JavaScript 代码

下载并执行的恶意程序 l6E.exe 目前已被多个杀毒引擎识别为木马病毒,具备反检测和持久化能力。

一旦执行,该恶意软件会尝试联系多个可疑域名,虽然大多数域名目前处于关闭状态:

根据 BleepingComputer 的确认,这款恶意软件就是 Lumma Stealer,它专门窃取安装在浏览器中的用户凭据、认证 Cookie 和浏览历史。此外,它还能够窃取加密货币钱包或其他可能包含敏感信息的文件。

通过 GitHub "Issues" 触发

那么,为什么会有这样的邮件通知?其实,威胁者正是通过 GitHub 的 "Issues" 功能来推动这项活动。他们利用伪造的 GitHub 用户账户,在开源项目中创建新的"issue",诱导其他用户访问伪造的 GitHub 扫描网站。

这些"issue"的内容会通过 GitHub 服务器发送给那些订阅该开源项目仓库的用户,提醒他们处理所谓的"安全漏洞"。

如何防范

用户应该避免点击这些邮件中的链接或附件,并报告相关的"issue"给 GitHub 进行调查。

此次事件再次揭示了像 GitHub 这样广泛使用的平台可能被不法分子利用的风险。

值得注意的是,上个月 BleepingComputer 也曾报道过,威胁者通过回复 GitHub 问题中的假修复方案,传播 Lumma Stealer 木马。

这些活动很可能是为了窃取开发者的凭据,以便获取源代码或项目的访问权限,从而对代码进行恶意修改,进行供应链攻击。

相关推荐
绝无仅有4 分钟前
未来教育行业的 Go 服务开发解决方案与实践
后端·面试·github
程序员爱钓鱼31 分钟前
Go语言实战案例- 命令行参数解析器
后端·google·go
心在飞扬1 小时前
Redis 介绍与 Node.js 使用教程
后端
JosieBook1 小时前
【SpringBoot】21-Spring Boot中Web页面抽取公共页面的完整实践
前端·spring boot·python
milanyangbo1 小时前
“卧槽,系统又崩了!”——别慌,这也许是你看过最通俗易懂的分布式入门
分布式·后端·云原生·架构
AAA修煤气灶刘哥2 小时前
MySQL 查文本查哭了?来唠唠 ES 这货:从 “啥是 ES” 到 Java 撸代码,一篇整明白!
java·后端·elasticsearch
金銀銅鐵2 小时前
[Java] 浅析密封类(Sealed Classes) 在 class 文件中是如何实现的
java·后端
吃饭睡觉打豆豆嘛2 小时前
深入剖析 Promise 实现:从原理到手写完整实现
前端·javascript
007php0072 小时前
Go语言面试:传值与传引用的区别及选择指南
java·开发语言·后端·算法·面试·golang·xcode
唐叔在学习2 小时前
从MD5到RSA,一文读懂常见的加密算法
后端