Se está abusando de GitHub para distribuir el malware de robo de información Lumma Stealer mediante falsos parches publicados en los comentarios de proyectos.
La campaña fue reportada por primera vez por un colaborador de la biblioteca rust teloxide, quien señaló en Reddit que recibió cinco comentarios diferentes en sus problemas de GitHub que pretendían ser arreglos, pero en realidad estaban difundiendo malware.
Una revisión adicional encontró miles de comentarios similares publicados en una amplia variedad de proyectos en GitHub, todos ofreciendo falsos arreglos a las preguntas de otras personas.
La «solución» le indica a la gente que descargue un archivo comprimido con contraseña desde mediafire.com o a través de una URL de bit.ly y que ejecute el ejecutable que se encuentra dentro de él. En la campaña actual, la contraseña ha sido «changeme» en todos los comentarios que hemos visto.
El ingeniero inverso Nicholas Sherlock comentó que se habían publicado más de 29,000 comentarios promocionando este malware en un período de tres días.
Hacer clic en el enlace lleva a los visitantes a una página de descarga de un archivo llamado ‘fix.zip’, que contiene algunos archivos DLL y un ejecutable llamado x86_64-w64-ranlib.exe.
Ejecutar el ejecutable en Any.Run indica que es el malware Lumma Stealer de robo de información.
Lumma Stealer es un ladrón de información avanzado que, cuando se ejecuta, intenta robar cookies, credenciales, contraseñas, tarjetas de crédito y el historial de navegación de Google Chrome, Microsoft Edge, Mozilla Firefox y otros navegadores basados en Chromium.
El malware también puede robar monederos de criptomonedas, claves privadas y archivos de texto con nombres como seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt y *.pdf, ya que es probable que estos contengan claves criptográficas privadas y contraseñas.
Estos datos se recopilan en un archivo comprimido y se envían de vuelta al atacante, quien puede usar la información en ataques posteriores o venderla en mercados de ciberdelincuencia.
Aunque el personal de GitHub ha estado eliminando estos comentarios a medida que se detectan, las personas ya han informado que han caído en la trampa.
Para aquellos que ejecutaron el malware, deben cambiar las contraseñas de todas sus cuentas utilizando una contraseña única para cada sitio y migrar las criptomonedas a un nuevo monedero.
El mes pasado, Check Point Research reveló una campaña similar por parte de los actores de amenaza Stargazer Goblin, quienes crearon una distribución de malware como servicio (DaaS) desde más de 3,000 cuentas falsas en GitHub para promover malware de robo de información.
No está claro si se trata de la misma campaña o de una nueva llevada a cabo por diferentes actores de amenazas.