GitHub

GitHubが悪用され、情報窃取マルウェア「Lumma Stealer」がプロジェクトのコメントに投稿された偽の修正プログラムとして配布されている。

このキャンペーンが最初に報告されたのは、teloxide rustライブラリのコントリビューターがRedditに投稿したもので、GitHubのissueに5つの異なるコメントが投稿され、それが修正プログラムのように装っていたが、その代わりにマルウェアをプッシュしていたという。

さらに調べてみると、GitHubのさまざまなプロジェクトに同じようなコメントが何千も投稿されており、そのすべてが他人の質問に対する偽の修正を提供していた。

解決策としては、mediafire.comやbit.lyのURLからパスワードで保護されたアーカイブをダウンロードし、その中の実行ファイルを実行するようにというものだ。今回のキャンペーンでは、私たちが目にしたすべてのコメントにおいて、パスワードは「changeme」となっている。

リバースエンジニアのNicholas Sherlockによると、このマルウェアをプッシュするコメントが3日間で29,000件以上投稿されたという。

Fake answer to a GitHub issue pushing the LummaStealer malware
Lumma StealerマルウェアをプッシュするGitHubの問題に対する偽の回答
ソースはこちら:Andrey Brusnik

このリンクをクリックすると、訪問者は「fix.zip」と呼ばれるファイルのダウンロードページにたどり着き、そこにはいくつかのDLLファイルとx86_64-w64-ranlib.exeという実行ファイルが含まれている。

Archive containing the LummaStealer installer
Lumma Stealerインストーラを含むアーカイブ
ソース

Any.Runで実行ファイルを実行すると、Lumma Stealer情報窃取マルウェアであることがわかります。

Lumma Stealerは高度な情報窃取マルウェアで、実行されるとGoogle Chrome、Microsoft Edge、Mozilla Firefox、その他のChromiumブラウザからCookie、認証情報、パスワード、クレジットカード、閲覧履歴を窃取しようとします。

このマルウェアはまた、暗号通貨ウォレット、プライベートキー、seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt、*.pdfのような名前のテキストファイルを盗むことができます。

このデータはアーカイブに集められ、攻撃者に送り返され、さらなる攻撃に使われたり、サイバー犯罪のマーケットプレイスで売られたりする。

GitHubのスタッフは、これらのコメントが検出されると削除しているが、すでにこの攻撃に引っかかったという報告が寄せられている。

マルウェアを実行した人は、サイトごとに固有のパスワードを使用してすべてのアカウントのパスワードを変更し、暗号通貨を新しいウォレットに移行する必要がある。

先月、チェック・ポイント・リサーチは、GitHub上の3,000以上の偽アカウントからマルウェアDaaS(Distribution-as-a-Service)を作成し、情報を盗むマルウェアをプッシュしていたStargazer Goblin脅威アクターによる同様のキャンペーンを公表した。

これが同じキャンペーンなのか、別の脅威行為者によって行われた新たなキャンペーンなのかは不明です。