最近,一项巧妙的威胁活动利用 GitHub 仓库传播 Lumma Stealer 密码窃取恶意软件,目标是那些活跃在开源项目仓库中的用户,或者是订阅了该项目邮件通知的用户。
具体来说,恶意 GitHub 用户会在开源项目仓库中发布一个新的"issue",虚假声称该项目存在"安全漏洞",并诱导其他人访问一个伪造的"GitHub Scanner"网站。然而,这个网站并不与 GitHub 相关联,它实际上是用来欺骗用户下载并安装 Windows 恶意软件。
为了让这一钓鱼攻击看起来更具说服力,仓库的用户和贡献者每次有恶意用户在仓库中提交新问题时,都会收到来自 GitHub 服务器的"重要"电子邮件提醒,使得整个钓鱼活动更加逼真。
虚假的"安全漏洞"邮件警报
本周,GitHub 用户收到了一封邮件通知,内容称他们曾参与的开源项目仓库存在"安全漏洞"。邮件鼓励用户访问"github-scanner[.]com"以了解更多有关所谓安全问题的信息。
为了让这一诱饵更加可信,邮件看起来像是来自 GitHub 的官方邮箱地址(notifications@github.com),并在邮件正文中签名为"Best regards, Github Security Team"。
然而,github-scanner[.]com 并非 GitHub 的正规域名,它实际上是用来分发恶意软件的。
当用户访问这个域名时,页面上会出现一个虚假的验证码,要求用户"验证自己是人类"。
虚假的验证码页面
用户点击"我不是机器人"后,页面中的 JavaScript 代码会在后台悄悄将恶意代码复制到用户的剪贴板。
接着,页面会提示用户执行 Windows 运行命令(按下 Windows+R 键组合),并将复制的内容粘贴到"运行"对话框中。
此时,隐藏在背后的 JavaScript 代码会从该域名下载一个名为 download.txt 的文件。该文件包含 PowerShell 指令,下载名为 'l6E.exe' 的 Windows 可执行文件,并将其保存为"SysSetup.exe"到临时目录中执行。
恶意 JavaScript 代码
下载并执行的恶意程序 l6E.exe 目前已被多个杀毒引擎识别为木马病毒,具备反检测和持久化能力。
一旦执行,该恶意软件会尝试联系多个可疑域名,虽然大多数域名目前处于关闭状态:
- eemmbryequo.shop
- keennylrwmqlw.shop
- licenseodqwmqn.shop
- reggwardssdqw.shop
- relaxatinownio.shop
- tendencctywop.shop
- tesecuuweqo.shop
- tryyudjasudqo.shop
根据 BleepingComputer 的确认,这款恶意软件就是 Lumma Stealer,它专门窃取安装在浏览器中的用户凭据、认证 Cookie 和浏览历史。此外,它还能够窃取加密货币钱包或其他可能包含敏感信息的文件。
通过 GitHub "Issues" 触发
那么,为什么会有这样的邮件通知?其实,威胁者正是通过 GitHub 的 "Issues" 功能来推动这项活动。他们利用伪造的 GitHub 用户账户,在开源项目中创建新的"issue",诱导其他用户访问伪造的 GitHub 扫描网站。
这些"issue"的内容会通过 GitHub 服务器发送给那些订阅该开源项目仓库的用户,提醒他们处理所谓的"安全漏洞"。
如何防范
用户应该避免点击这些邮件中的链接或附件,并报告相关的"issue"给 GitHub 进行调查。
此次事件再次揭示了像 GitHub 这样广泛使用的平台可能被不法分子利用的风险。
值得注意的是,上个月 BleepingComputer 也曾报道过,威胁者通过回复 GitHub 问题中的假修复方案,传播 Lumma Stealer 木马。
这些活动很可能是为了窃取开发者的凭据,以便获取源代码或项目的访问权限,从而对代码进行恶意修改,进行供应链攻击。