Yeni Github Scam, kullanıcı verilerini çalmak için sahte “modlar” ve “çatlaklar” kullanıyor


Oyun modifikasyonları ve çatlak yazılımlar olarak gizlenen GitHub depolarından yararlanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı ve sosyal mühendislik taktiklerinin tehlikeli bir yakınsamasını ve otomatik kimlik bilgisi hasatını ortaya çıkardı.

Güvenlik araştırmacıları, kripto para birimi cüzdan anahtarları, tarayıcı çerezleri ve oyun platformu kimlik bilgileri de dahil olmak üzere hassas verileri yaymak için tasarlanmış Python tabanlı bir kötü amaçlı yazılım olan Redox Stealer’ın varyantlarını dağıtan 1.100’den fazla kötü amaçlı depo tespit etti.

Redoks Stealer’ın teknik mimarisi

Kötü amaçlı yazılım, sistem keşifinden başlayarak çok aşamalı bir veri hasat işlemi ile çalışır.

ABD tabanlı 6+ aylık Instagram 50 sent oluşturuyorABD tabanlı 6+ aylık Instagram 50 sent oluşturuyor
ABD tabanlı 6+ aylık Instagram 50 sent oluşturuyor

İlk yürütme, kurbanın IP adresini, geolocation-db.com API üzerinden coğrafi konumu ve os.getenv (‘kullanıcı adı’) kullanarak Windows kullanıcı adını toplayan bir globalInfo () işlevini tetikler.

Bu makalenin yazarı tarafından oluşturulan yer tutucu görüntülerden bazıları ve bir örnek Bu makalenin yazarı tarafından oluşturulan yer tutucu görüntülerden bazıları ve bir örnek
Bu makalenin yazarı tarafından oluşturulan bazı yer tutucu görüntüler ve bir “çatlak” FL Studio deposu ReadMe örneği

Bu veriler, pesfiltrasyon için anlaşmazlık özellikli bir işaretleme halinde biçimlendirilmiştir:

def globalInfo():

    ip = getip()  # Custom IP resolver omitted in decompiled code

    username = os.getenv('USERNAME')

    ipdata = requests.get(f"https://geolocation-db.com/jsonp/{ip}").json()

    return f":flag_{ipdata['country_code']}: - `{username.upper()} | {ip} ({ipdata['country_name']})`"

Gizleme teknikleri, statik analizden kaçmak için birden fazla değişkene (sihir, aşk, Tanrı, kader) bölünmüş baz64 kodlu Discord Webhook URL’lerini içerir.

Yeniden yapılandırıldığında, bu dizeler https://discord.com/api/webhooks/105043798254324138/vjbyvmbkussv4fyn0lijlbr4vzrtepokmdmuilzt7s7o3o3lt72 Saldırganlar için merkezi tomruklama uç noktaları.

Github Sahte ACCGithub Sahte ACC
Github Sahte ACC

Depo Sosyal Mühendislik Taktikleri

Saldırganlar, şu anda aşamalı bir “Sosyal Mühendislik” forum kılavuzunda özetlenen algoritmik depo üretim stratejileri kullanırlar. Temel taktikler şunları içerir:

  1. Konu zehirlenmesi: Depolar, PC için Free Roblox Aimbot İndirme veya FL Studio Crack gibi arama optimize edilmiş ifadelerle etiketlenir ve GitHub’ın konu sistemini Google aramalarında yüzeye çıkarmak için kullanır. Bir komut dosyası, temel anahtar kelimelerden (Valorant, Photoshop) türetilen 38.000 potansiyel kötü niyetli konu tespit etti (Cracked, Hack) 1.
  2. ReadMe Fabrikasyon: ChatGPT tarafından oluşturulan açıklamalar, sahte Virustotal “0/70 kötü amaçlı yazılım” ekran görüntüleri ile birlikte güvenilirlik oluşturur. “Tehlike: kötü amaçlı yazılım” etiketli bir sorun içermesine rağmen, Google arama sonuçlarında sahte bir valorant Aimbot için bir depo.
  3. İkili gizleme: Kötü niyetli yükler, parola korumalı RAR arşivleri olarak dağıtılır veya GitHub’ın otomatik kötü amaçlı yazılım taramasını atlamak için anonfiles üzerinde barındırılır.

Otomatik Veri Hasat İş Akışı

Redoks yükü, tarayıcılardan (Chrome, Edge) kimlik bilgilerini çıkarmak için SQLite veritabanı sorgularını ve Steam ve Discord gibi uygulamaları içerir:

def getCookie(path, arg):

    conn = sqlite3.connect(tempfold)

    cursor = conn.cursor()

    cursor.execute('SELECT host_key, name, encrypted_value FROM cookies')

    data = cursor.fetchall()  # Decryption via DPAPI omitted

    return base64.b64encode(pickle.dumps(data))

Anahtar kelimeler (Metamask, Exodus, RiotGames) eşleştiren dosyalar sıkıştırılır ve çok iş parçacıklı işçiler kullanılarak anonfillere yüklenir.

“Bir depoyu dekore etmeye nasıl başlanır”

Kiwi () modülü, “şifre” veya “banka” gibi ifadeler içeren belgeler için dizinleri özyinelemeli olarak tarar ve masaüstü, indirme ve belge klasörlerine öncelik verir.

Özel bir Python paletli, 351’i kötü amaçlı yazılım gösteren “ReadMe + Arşiv” yapısıyla eşleşen 1.115 şüpheli depo tanımladı.

Repoların% 10’unun kullanıcı tarafından bildirilen sorunları olan sorunları olmasına rağmen, sadece% 3’ü (11 depo) kötü niyetli olarak işaretlendi-kaçınma tespitinde% 97 başarı oranı.

Araştırmacılar, her deponun 1-3 uzlaşmış sistem ürettiğini tahmin ediyor (Araştırmacılar, her deponun 1-3 uzlaşmış sistem ürettiğini tahmin ediyor (
Araştırmacılar, her bir deponun günlük 1-3 uzlaşılmış sistem (“günlükler”) ürettiğini ve operatör başına aylık 3.345 kurban önerdiğini tahmin ediyor.

Github’ın yanıtı ve azaltma zorlukları

GitHub’ın kötü amaçlı yazılım algılama sistemlerine rağmen, depolar aşağıdakiler nedeniyle aktif kalır.

  • Gecikmeli yayından kaldırma: Saldırganlar, otomatik konu permütasyonlarını kullanarak yasaklanmış depoları yeniliyor.
  • Meşru görünümlü etkinlik: Gerçekçi taahhüt geçmişleri ve yıldız sayıları ile hesaplar Bypass sezgisel analiz.
  • Şifrelenmiş yükler: RAR şifreleri (“hileS4u”) statik kod analizini önler.

Araştırmacının onaylanmış kötü amaçlı depoların e -tablosu henüz toplu yayından kaldırma işlemlerini tetiklemedi ve proaktif izlemedeki boşlukları vurguladı.

Bir forum kullanıcısı ağıt yakarken, “Senaryo çocukları Github’ı sahte çatlaklarla sular altında bıraktı – şimdi gerçek olanlar bile işaretleniyor”bu kampanyaların teminat hasarının altını çizmek. Github henüz planlanan tespit iyileştirmeleri hakkında yorum yapmamıştır.

Bu kampanya, büyük ölçekli sosyal mühendislik için açık kaynaklı platformların gelişen kötüye kullanımını aydınlatıyor.

Redox’un kod tabanı, kimlik bilgisi hasatını otomatikleştirmek için sadece 1.000 satır python gerektirirken, geliştiricilerin GitHub gibi güvenilir platformlarda bile çok iyi olmayan depolara karşı uyanık kalması gerekir.

Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free



Source link