The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Манипуляция с рассылкой уведомлений через GitHub для распространения вредоносного ПО

20.09.2024 09:29

Распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности в GitHub. Рассылка нацелена на стимулирование сопровождающих и разработчиков, пользующихся платформой Windows, к совершению действий, приводящих к установке вредоносного ПО на их системы. Метод интересен тем, что письма приходят с реальных почтовых серверов GitHub и, если не обратить внимание на мелочи, напоминают реальные уведомления.

Для рассылки писем с серверов GitHub злоумышленники размещают в разделе "issues" атакуемого проекта на GitHub сообщение о выявлении связанной с безопасностью проблеме, но вместо описания сути уязвимости, добавляют текст, стилизованный под предупреждение от команды "Github Security Team". Разработчикам проекта направляется email с уведомлением о появлении нового сообщения в "issues", который выглядит не как сообщение от постороннего, а как уведомление от самого GitHub. Для того, чтобы разработчики не заметили подозрительной активности на странице GitHub, созданный issue сразу удаляется.

В тексте сообщения указывается, что дополнительную информацию о выявленной проблеме можно получить на сайте github-scanner.com. Данный сайт создан злоумышленниками и использует восхитительный своей простой и наивностью метод для организации запуска вредоносного ПО на системе жертвы - при открытии сайта выводится запрос подтверждения, что вход осуществлён реальным пользователем, а не ботом, в котором предлагается вначале согласиться с прохождением проверки, а затем нажать сочетания клавиш "Windows+R", "Ctrl+V" и Enter. При нажатии кнопки "я не робот" на первом экране в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell, а при последующем нажатии сочетаний клавиш открывается окно ввода команд ("Windows+R"), в котором из буфера обмена вставляется ("Ctrl+V") и выполняется ("Enter") вредоносная команда.

В случае выполнения команды на систему пользователя устанавливается вредоносное ПО "LUMMASTEALER", осуществляющее поиск и отправку на сервер злоумышленников конфиденциальных данных, таких как ключи доступа, криптокошельки, сохранённые пароли и сессионные Cookie из браузеров.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: На GitHub выявлено более 100 тысяч репозиториев с вредоносным кодом
  3. OpenNews: В репозитории Hugging Face выявлены вредоносные AI-модели, выполняющие код
  4. OpenNews: Распространение вредоносного ПО через рекламу домена, неотличимого от домена проекта KeePass
  5. OpenNews: Под видом эксплоита к уязвимости в rkvdec распространялся вредоносный код
  6. OpenNews: Анализ наличия вредоносного кода в эксплоитах, опубликованных на GitHub
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61895-github
Ключевые слова: github, mallware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:53, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Вроде это было в прошлом месяце. Неужели, работает? На самом деле хороший способ отфильтровать подобные кадры от доступа к репе, жаль, часто повторять не получится.
     
     
  • 2.3, Жироватт (ok), 09:57, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Хм...спасибо за идею. Думаю, можно попросить ИБшников/сисадминов посодействовать.
     
     
  • 3.6, Анонимище (?), 10:19, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Только не удивляйтесь если после подобных "гениальных" идей вас работодатель выставит на мороз
     
     
  • 4.31, Аноним (31), 12:18, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Только не удивляйтесь если подобных идей ему повысят ЗП сделают ВП и у него будет дача в ЮСА.
     
  • 3.7, Анонимище (?), 10:22, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Или же что придется доказывать судье что в скрипте который загрузился на компьютер испытуемого не было вредоноса.
     
     
  • 4.19, Аноним (1), 11:38, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > Или же что придется доказывать судье что в скрипте который загрузился на
    > компьютер испытуемого не было вредоноса.

    Глупости, достаточно трекать. А скрипт не сам загрузился, а был собственноручно загружен оператором.

     
     
  • 5.30, Анонимище (?), 12:17, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Да, но путем введения оператора в заблуждение. В юриспруденции важны не только конкретные действия и их результаты, но также и намерения лиц их совершивших
     

  • 1.2, Жироватт (ok), 09:56, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    ...а я ведь говорил, что превращение хранилища кода в соцсеть до добра не доведёт.

    Напомнило древниючий развод с "антивирусом в браузере".

     
     
  • 2.13, Аноним (13), 11:05, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > ...а я ведь говорил

    Да ты в каждой новости отмечаешься...

    > превращение хранилища кода в соцсеть до добра не доведёт.

    Раскрой мысль, как твои умничания соотносятся с новостью? Или ты ее вообще не читал?

     
     
  • 3.26, Аноним (26), 12:00, 20/09/2024 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.18, robot228 (?), 11:28, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Шиз.
    Просто массовый продукт с хорошим таргетом на бигдату.
     

  • 1.4, hshe (?), 10:00, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +10 +/
    нажать сочетания клавиш "Windows+R", "Ctrl+V" и Enter.

    Это пять, квест на дол6@еба

     
     
  • 2.11, Аноним (31), 11:03, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    А ведь у какого-нибудь убунтушника не сработает и он пойдет жаловаться в гитхаб что у них на работает. А саппорту голову ломать что он несёт.
     

  • 1.5, Аноним (5), 10:05, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > восхитительный своей простой и наивностью метод

    половина поделий устанавливается с этих соевых вконтактов через curl|sudo, чего в этом восхитительного и наивного?

     
     
  • 2.22, Аноним (26), 11:45, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Но откуда у соевых вконтактов curl|sudo?
     
     
  • 3.25, Аноним (5), 11:54, 20/09/2024 Скрыто ботом-модератором     [к модератору]
    		• +/
     

  • 1.10, Аноним (31), 11:01, 20/09/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +4 +/
     

  • 1.12, Аноним (13), 11:03, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Press Windows + R
    > Prese Ctrl + V
    > Press Enter

    Вы это серьезно? 🤦

     
     
  • 2.20, Аноним (26), 11:40, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Что это делает? Я так и не понял из описания.
    Вроде бы Ctrl+V читает из буфера обмена, а написано что копипуется:
    > При нажатии кнопки согласия в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell

    Enter что делает? Нажимаю Enter в бровзере и ничего не происходит.

     
     
  • 3.21, Аноним (1), 11:43, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Операционная система исполняет команду, которую браузер скопировал в буфер обмена. С правами пользователя.
     
     
  • 4.23, Аноним (26), 11:46, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот с этого места подробнее.. Вот в буфере обмена сидит "format c:", почему при нажатии Enter в бровзере происходит выполнение команды?
     
     
  • 5.24, Аноним (26), 11:50, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Теперь понял, Windows + R открывает окно запуска команды! ЯСНОПОНЯТНО!
     
  • 3.27, Аноним (27), 12:05, 20/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > Вроде бы Ctrl+V читает из буфера обмена, а написано что копипуется:
    >> При нажатии кнопки согласия в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell

    Написано "при нажатии кнопки", а не при нажатии "Ctrl+V". К кнопке на первом экране привязывается вызов JavaScript-метода Clipboard.writeText(), который без явного действия пользователя не вызвать, для этого и нужен первый экран с кнопкой "я не робот". А уже потом  "Windows+R", "Ctrl+V" и Enter

     

  • 1.17, Массоны Рептилоиды (?), 11:13, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    Здравствуйте, я - молдавский вирус. В виду бедности моего
    создателя и общей отсталости развития высоких технологий
    нашей страны, я не в силах причинить какой-либо вред вашему
    компьютеру. Пожалуйста, сотрите сами несколько самых нужных
    вам файлов, а затем разошлите меня по почте своим друзьям.
    Благодарю за понимание и сотрудничество.
     
  • 1.28, Аноним (26), 12:11, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > в буфер обмена копируется

    Это нормально что бровзеру такое позволяется?

     

  • 1.32, Аноним (32), 12:21, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >а затем нажать сочетания клавиш "Windows+R", "Ctrl+V" и Enter

    О ужас, они же взломают всех пользователей гитхаба!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру