據(jù)BleepingComputer消息，GitHub  teloxide rust 庫的一位貢獻(xiàn)者發(fā)現(xiàn)，GitHub項目中的評論以提供修復(fù)程序為幌子，實際在其中植入了Lumma Stealer 惡意軟件。

BleepingComputer 進(jìn)一步審查發(fā)現(xiàn)， GitHub 上的各種項目中有數(shù)千條類似的評論，這些評論都為用戶的提問提供了虛假的修復(fù)程序。

以下圖為例，該評論告訴用戶從 mediafire.com 或通過 bit.ly URL 下載受密碼保護(hù)的壓縮包，然后運行其中的可執(zhí)行文件。 逆向工程師告訴 BleepingComputer，僅在 3 天時間里就有超過2.9萬條推送該惡意軟件的評論。

傳播Lumma Stealer 惡意軟件的評論回復(fù)

含有 Lumma Stealer的安裝程序

單擊該鏈接會將用戶帶到一個名為“fix.zip”的文件下載頁面，其中包含一些 DLL 文件和一個名為 x86_64-w64-ranlib.exe 的可執(zhí)行文件。通過在 Any.Run分析發(fā)現(xiàn)，這是一個Lumma Stealer 信息竊取惡意軟件。

Lumma Stealer 是一種高級信息竊取程序，能夠從 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 瀏覽器中竊取 cookie、憑證、密碼、信用卡和瀏覽歷史記錄。此外，它還能竊取加密貨幣錢包、私鑰和名稱為 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、單詞、wallet.txt、*.txt 和 *.pdf 等名稱的文本文件。這些數(shù)據(jù)被收集并發(fā)送回給攻擊者，攻擊者可以使用這些信息進(jìn)行進(jìn)一步的攻擊或在網(wǎng)絡(luò)犯罪市場上出售。

雖然 GitHub的工作人員會在檢測到這些評論時進(jìn)行刪除，但已經(jīng)有受害者在Reddit上進(jìn)行了反饋。

就在最近，Check Point Research 披露了名為Stargazer Goblin 的攻擊者進(jìn)行的類似活動，他們通過在Github上創(chuàng)建3000多個虛假賬戶傳播惡意軟件。目前尚不清楚這兩起事件是否由同一攻擊者所為。