Chiến dịch tấn công mới tinh vi đã lợi dụng các kho GitHub để phát tán phần mềm độc hại đánh cắp thông tin Lumma Stealer

Anh Khoa
Author - Anh Khoa
14:18
0

Chiến dịch tấn công mới tinh vi đã lợi dụng các kho GitHub để phát tán phần mềm độc hại đánh cắp thông tin **Lumma Stealer**, nhắm vào những người dùng tham gia các dự án mã nguồn mở hoặc nhận thông báo qua email từ các kho này.

Cách thức tấn công

1. Giả danh thông báo lỗ hổng bảo mật: Kẻ tấn công mở một "issue" mới trên một kho mã GitHub, tuyên bố rằng dự án có lỗ hổng bảo mật nghiêm trọng. Trong issue này, chúng khuyến khích người dùng truy cập vào một trang web giả mạo tên **github-scanner[.]com** để tìm hiểu thêm về vấn đề.

2. Trang web giả mạo: Khi người dùng truy cập vào trang này, họ sẽ thấy một CAPTCHA giả yêu cầu xác minh "I'm not a robot". Sau khi người dùng nhấn nút xác nhận, một mã JavaScript sẽ sao chép mã độc vào clipboard của người dùng.

3. Lệnh độc hại: Tiếp theo, trang web yêu cầu người dùng mở hộp thoại lệnh Run của Windows và dán mã đã sao chép (Ctrl+V), từ đó tải xuống và chạy một file độc hại. File này chứa mã PowerShell, tải về và thực thi tệp EXE **l6E.exe** từ miền github-scanner[.]com. Phần mềm độc hại được lưu dưới tên **SysSetup.exe** và bắt đầu hoạt động ngay lập tức.


  • Mục tiêu của phần mềm độc hại

Phần mềm Lumma Stealer được thiết kế để:

- Đánh cắp thông tin đăng nhập: Mật khẩu, cookie xác thực, và lịch sử duyệt web từ các trình duyệt đã cài đặt.

- Đánh cắp ví tiền điện tử: Lumma Stealer có thể truy cập các ví tiền điện tử hoặc bất kỳ tệp nào có thông tin nhạy cảm trên thiết bị bị nhiễm.

Lợi dụng tính năng GitHub "Issues"

Kẻ tấn công tạo các tài khoản giả mạo trên GitHub và mở các issue trên các dự án mã nguồn mở. Các issue này sẽ được gửi đến tất cả những ai đã theo dõi dự án dưới dạng thông báo email từ địa chỉ hợp pháp của GitHub ([email protected]), khiến người nhận dễ tin tưởng hơn. 

Malicious JavaScript code

Mã JavaScript độc hại tải xuống và chạy EXE
(BleepingComputer)

Các miền liên quan đến phần mềm độc hại

Khi được chạy, phần mềm độc hại cố gắng kết nối với nhiều miền khả nghi, như:

eemmbryequo.shop
keennylrwmqlw.shop
licenseodqwmqn.shop
reggwardssdqw.shop
relaxatinownio.shop
tendencctywop.shop
tesecuuweqo.shop
tryyudjasudqo.shop

Cảnh báo người dùng

Người dùng GitHub được khuyến cáo **không nhấp vào các liên kết** hoặc tệp đính kèm trong email liên quan đến vấn đề bảo mật từ các nguồn không rõ ràng. Nếu nhận được thông báo tương tự, hãy báo cáo ngay cho GitHub để điều tra.

Chiến dịch này là một ví dụ cho thấy các nền tảng lớn như GitHub có thể bị kẻ xấu lợi dụng để thực hiện các cuộc tấn công **chuỗi cung ứng** nhằm vào các nhà phát triển và dự án mã nguồn mở.


Tags

Hiện thêm

Đăng nhận xét

0Nhận xét
Đăng nhận xét (0)

#buttons=(Accept !) #days=(20)

Our website uses cookies to enhance your experience. Learn More
Accept !
Chia sẻ với ứng dụng khác
Copy Post Link
To Top