GitHub viene abusato per distribuire il malware Lumma Stealer che ruba informazioni come false correzioni pubblicate nei commenti del progetto. La campagna è stata segnalata per la prima volta da un collaboratore della libreria teloxide rust. Quest’ultimo ha scritto su Reddit di aver ricevuto cinque commenti diversi su GitHub che fingevano di essere correzioni ma in realtà nascondevano malware. Secondo quanto riportato dal sito BleepingComputer, sarebbero migliaia i commenti simili pubblicati su un'ampia gamma di progetti GitHub. Tutti offrono false correzioni alle domande degli utenti. A quest’ultimi viene chiesto di scaricare un file protetto da password da mediafire.com o tramite un URL bit.ly e avviare l'eseguibile al suo interno. Nella campagna attuale, la password è stata "changeme" svariati commenti. Il reverse engineering Nicholas Sherlock ha rivelato che sono stati pubblicati oltre 29.000 commenti che spingevano questo malware in un periodo di 3 giorni.
GitHub: come funziona l’attacco dell’infostealer
L’attacco è semplice. cliccando sul link, gli utenti vengono indirizzati a una pagina di download di un file denominato "fix.zip". Quest’ultima contiene alcuni file DLL e un file eseguibile denominato x86_64-w64-ranlib.exe. L'esecuzione del file su Any.Run indica che si tratta del malware Lumma Stealer che ruba informazioni. Lumma Stealer è un avanzato infostealer che, quando eseguito, tenta di rubare cookie, credenziali, password, carte di credito e cronologia di navigazione da Google Chrome, Microsoft Edge, Mozilla Firefox e altri browser Chromium. Il malware può anche rubare wallet di criptovaluta, chiavi private e file di testo con nomi come seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt e *.pdf. È infatti probabile che tali file contengano chiavi crittografiche e password private. I dati vengono raccolti in un archivio e inviati all'aggressore. Quest’ultimo può utilizzare le informazioni in ulteriori attacchi o venderle sui mercati della criminalità informatica.
Mentre lo staff di GitHub ha eliminato questi commenti non appena sono stati rilevati, gli utenti hanno già segnalato di essere caduti vittima dell'attacco. Per coloro che hanno eseguito il malware, è necessario modificare le password di tutti gli account utilizzando una password univoca per ogni sito. Inoltre, è consigliato migrare la criptovaluta su un nuovo wallet. Il mese scorso, Check Point Research ha rivelato una campagna simile da parte degli hacker di Stargazer Goblin. Gli aggressori hanno creato un malware Distribution-as-a-Service (DaaS) da oltre 3.000 account falsi su GitHub per promuovere infostealer. Non è chiaro se si tratti della stessa campagna o di una nuova condotta da diversi autori della minaccia.