據(jù)BleepingComputer消息，GitHub  teloxide rust 庫的一位貢獻(xiàn)者發(fā)現(xiàn)，GitHub項(xiàng)目中的評(píng)論以提供修復(fù)程序?yàn)榛献?，?shí)際在其中植入了Lumma Stealer 惡意軟件。

BleepingComputer 進(jìn)一步審查發(fā)現(xiàn)， GitHub 上的各種項(xiàng)目中有數(shù)千條類似的評(píng)論，這些評(píng)論都為用戶的提問提供了虛假的修復(fù)程序。

以下圖為例，該評(píng)論告訴用戶從 mediafire.com 或通過 bit.ly URL 下載受密碼保護(hù)的壓縮包，然后運(yùn)行其中的可執(zhí)行文件。 逆向工程師告訴 BleepingComputer，僅在 3 天時(shí)間里就有超過2.9萬條推送該惡意軟件的評(píng)論。

傳播Lumma Stealer 惡意軟件的評(píng)論回復(fù)

含有 Lumma Stealer的安裝程序

單擊該鏈接會(huì)將用戶帶到一個(gè)名為“fix.zip”的文件下載頁面，其中包含一些 DLL 文件和一個(gè)名為 x86_64-w64-ranlib.exe 的可執(zhí)行文件。通過在 Any.Run分析發(fā)現(xiàn)，這是一個(gè)Lumma Stealer 信息竊取惡意軟件。

Lumma Stealer 是一種高級(jí)信息竊取程序，能夠從 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 瀏覽器中竊取 cookie、憑證、密碼、信用卡和瀏覽歷史記錄。此外，它還能竊取加密貨幣錢包、私鑰和名稱為 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、單詞、wallet.txt、*.txt 和 *.pdf 等名稱的文本文件。這些數(shù)據(jù)被收集并發(fā)送回給攻擊者，攻擊者可以使用這些信息進(jìn)行進(jìn)一步的攻擊或在網(wǎng)絡(luò)犯罪市場(chǎng)上出售。

雖然 GitHub的工作人員會(huì)在檢測(cè)到這些評(píng)論時(shí)進(jìn)行刪除，但已經(jīng)有受害者在Reddit上進(jìn)行了反饋。

就在最近，Check Point Research 披露了名為Stargazer Goblin 的攻擊者進(jìn)行的類似活動(dòng)，他們通過在Github上創(chuàng)建3000多個(gè)虛假賬戶傳播惡意軟件。目前尚不清楚這兩起事件是否由同一攻擊者所為。