Una campagna malware sta abusando dei repository GitHub per distribuire Lumma Stealer, malware che ruba le password. Questa prende di mira gli utenti che frequentano un repository di progetti open source o che sono iscritti alle notifiche e-mail. Utenti GitHub malintenzionati aprono infatti nuovi "problemi" su repository open source affermando falsamente che il progetto contiene una "vulnerabilità di sicurezza". Fatto ciò, sollecitano altri a visitare un dominio "GitHub Scanner" contraffatto. Il dominio in questione, tuttavia, non è associato a GitHub e inganna gli utenti inducendoli a installare malware Windows. Per rendere l'esca più convincente, l'e-mail proviene da un indirizzo email GitHub legittimo, (notifications@github.com) ed è firmata "Cordiali saluti, Github Security Team". Come accennato, il dominio github-scanner[.]com non è affiliato a GitHub e viene utilizzato per distribuire malware ai visitatori.
Gli utenti che visitano il dominio vengono accolti con un falso captcha che chiede loro di "verificare di essere umani". Selezionando "Non sono un robot", il codice JavaScript in background copia il codice dannoso negli appunti. Una schermata successiva chiede all'utente di eseguire il comando Esegui di Windows (premendo la combinazione di tasti Windows+R) e incollando il contenuto nel prompt dell'utilità "Esegui". Il codice JavaScript recupera poi un altro file download.txt, anch'esso ospitato su github-scanner[.]com. Il file contiene istruzioni PowerShell per scaricare un eseguibile Windows 'l6E.exe' dallo stesso dominio, salvarlo come "SysSetup.exe" in una directory temporanea ed eseguirlo. Come segnalato da Virus Total, l6E.exe' è un trojan ed è dotato di capacità anti-rilevamento e persistenza. Quando viene eseguito, il malware tenta di contattare diversi domini sospetti, la maggior parte dei quali sono inattivi al momento della scrittura. Si tratta di: eemmbryequo.shop, keennylrwmqlw.shop, licenseodqwmqn.shop, reggwardssdqw.shop, relaxatinownio.shop, tendencctywop.shop, tesecuuweqo.shop e tryyudjasudqo.shop.
GitHub: abusata funzionalità “Issue” per ingannare gli utenti
Com’è noto, oltre a rubare password, Lumma Stealer è anche in grado di rubare wallet di criptovaluta o file che potrebbero contenere informazioni sensibili dal dispositivo infetto. Per quanto riguarda il modo in cui vengono attivate le notifiche e-mail, il segreto è la funzionalità "Issues" di GitHub che viene abusata dagli autori delle minacce per inondare i repository open source e promuovere questa campagna. Gli autori delle minacce creano account GitHub pseudonimi e li usano per aprire un nuovo "Issue" su un progetto open source. Ciò porta altri a visitare il dominio contraffatto di GitHub Scanner. Il contenuto della Issue verrà distribuito come avvisi e-mail dai server ufficiali GitHub, a coloro che si sono iscritti al repository open source in questione.
Naturalmente, gli utenti devono evitare di aprire link e allegati in tali e-mail e segnalare i "problemi" corrispondenti a GitHub. Questo incidente dimostra un altro modo in cui piattaforme estremamente popolari come GitHub possono essere abusate da utenti malintenzionati. Queste campagne mirano probabilmente a rubare le credenziali degli sviluppatori per ottenere l'accesso al codice sorgente o ai progetti, che possono quindi essere modificati con codice dannoso per condurre attacchi alla supply chain.