GitHub disalahgunakan untuk mendistribusikan malware pencuri informasi Lumma Stealer sebagai perbaikan palsu yang diposting dalam komentar proyek.
Kampanye ini pertama kali dilaporkan oleh seorang kontributor perpustakaan karat teloksidayang mencatat pada Bahasa Indonesia: Reddit bahwa mereka menerima lima komentar berbeda dalam masalah GitHub mereka yang berpura-pura sebagai perbaikan tetapi malah menyebarkan malware.
Tinjauan lebih lanjut oleh BleepingComputer menemukan ribuan komentar serupa yang diposting ke berbagai proyek di GitHub, semuanya menawarkan perbaikan palsu untuk pertanyaan orang lain.
Solusinya memberi tahu orang-orang untuk mengunduh arsip yang dilindungi kata sandi dari mediafire.com atau melalui URL bit.ly dan menjalankan file yang dapat dieksekusi di dalamnya. Dalam kampanye saat ini, kata sandinya adalah “changeme” di semua komentar yang kami lihat.
Insinyur balik Nicholas Sherlock mengatakan kepada BleepingComputer bahwa lebih dari 29.000 komentar yang menyebarkan malware ini telah diposting selama periode 3 hari.
Sumber: Andrey Brusnik
Mengklik tautan tersebut akan membawa pengunjung ke halaman unduhan untuk berkas yang disebut ‘fix.zip,’ yang berisi beberapa berkas DLL dan file yang dapat dieksekusi bernama x86_64-w64-ranlib.exe.
Sumber: BleepingComputer
Menjalankan executable pada Apa pun.Jalankan menunjukkan bahwa itu adalah malware pencuri informasi Lumma Stealer.
Lumma Stealer adalah pencuri informasi canggih yang jika dijalankan akan mencoba mencuri cookie, kredensial, kata sandi, kartu kredit, dan riwayat penelusuran dari Google Chrome, Microsoft Edge, Mozilla Firefox, dan peramban Chromium lainnya.
Malware ini juga dapat mencuri dompet mata uang kripto, kunci pribadi, dan file teks dengan nama seperti seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt, dan *.pdf, karena kemungkinan berisi kunci kripto dan kata sandi pribadi.
Data ini dikumpulkan menjadi arsip dan dikirim kembali ke penyerang, di mana mereka dapat menggunakan informasi tersebut dalam serangan lebih lanjut atau menjualnya di pasar kejahatan dunia maya.
Meskipun Staf GitHub telah menghapus komentar-komentar ini saat terdeteksi, orang-orang sudah dilaporkan menjadi korban serangan tersebut.
Bagi mereka yang menjalankan malware, Anda harus mengubah kata sandi di semua akun Anda menggunakan kata sandi unik untuk setiap situs dan memindahkan mata uang kripto ke dompet baru.
Bulan lalu, Check Point Research mengungkapkan kampanye serupa yang dilakukan oleh pelaku ancaman Stargazer Goblin, yang menciptakan malware Distribution-as-a-Service (DaaS) dari lebih dari 3.000 akun palsu di GitHub untuk mendorong malware pencuri informasi.
Tidak jelas apakah ini adalah kampanye yang sama atau kampanye baru yang dilakukan oleh aktor ancaman yang berbeda.
