بر اساس گزارشهای اخیر، مهاجمان در حال توزیع بدافزار سرقت اطلاعات Lumma Stealer در بخش نظرات گیتهاب هستند. مهاجمان با انتشار نظراتی که به ظاهر حاوی لینک پاسخ سوالات کاربران درباره پروژههای منتشر شده در این پلتفرم هستند، این بدافزار سرقت اطلاعات را بین کاربران توزیع میکنند. محققان امنیتی اظهار کردهاند که تنها در یک بازه سه روزه ۲۰ هزار کامنت حاوی لینک دانلود این بدافزار در گیتهاب منتشر شده است.
کلیک کردن روی این لینک کاربران را به صفحه دانلود یک فایل به نام «fix.zip» هدایت میکند که حاوی چند فایل DLL و یک فایل اجرایی به نام x86_64-w64-ranlib.exe است که در واقع همان بدافزار سرقت اطلاعات Lumma Stealer است.
بدافزار Lumma Stealer یک بدافزار پیشرفته برای سرقت است که توانایی سرقت کوکیها، اطلاعات ورود به حسابهای آنلاین، رمز عبورهای ذخیره شده، اطلاعات کارتهای اعتباری و تاریخچه مرورگرهای گوگل کروم، مایکروسافت اج، فایرفاکس و دیگر مرورگرهای مبتنی بر کرومیوم را داراست.
این بدافزار همچنین میتواند اطلاعات کیفپولهای ارز دیجیتال، کلیدهای خصوصی، فایلهای متنی که ممکن است حاوی اطلاعات مربوط به حسابهای ارز دیجیتال باشد را سرقت کند.
اطلاعات جمعآوری شده در یک آرشیو گردآوری شده و برای مهاجم ارسال میشود تا در حملات دیگر مورد بهره برداری قرار گیرد.
با وجود اینکه کارمندان گیتهاب پس از شناسایی این نظرات شروع به حذف آنها کردهاند، اما گزارشاتی مبنی بر قربانی شدن کاربران نیز منتشر شده است.
به قربانیان این بدافزار توصیه میشود رمزعبور همه حسابهای خود را تغییر داده و ارزهای دیجیتال خود را به حساب جدیدی منتقل کنند.
توضیحات بیشتر:
- GitHub comments abused to push password stealing malware masked as fixes