Nonostante le protezioni implementate, la popolare piattaforma di hosting viene spesso sfruttata per distribuire malware. Recentemente sono stati individuati migliaia di commenti su GitHub con link a file esterni che dovrebbero essere fix a problemi rilevati nel codice. In realtà, l’ignara vittima installa il famigerato Lumma Stealer che può rubare un numero elevato di informazioni sensibili.
Attenzione ai falsi fix nei commenti
La pericolosa attività è stata scoperta inizialmente da un utente che contribuisce al progetto teloxide
, un framework in Rust che consente di creare bot di Telegram. Lo sviluppatore ha recentemente ricevuto 5 commenti con le istruzioni da seguire per installare un fix. Bleeping Computer ha successivamente individuato migliaia di simili commenti in altri progetti.
Un reverse engineer ha trovato oltre 29.000 commenti in 3 giorni. Nel testo c’è il link al presunto fix condiviso tramite MediaFire o Bit.ly. Si tratta di un archivio protetto da password (indicata nel commento). Cliccando sul link viene scaricato il file fix.zip
che contiene tre DLL e un’eseguibile. Quest’ultimo installa Lumma Stealer.
Si tratta di uno degli infostealer più pericolosi in circolazione. Può rubare password, cookie, numeri delle carte di credito e cronologia da Chrome, Edge e Firefox, file di testo e PDF, chiavi private e wallet di criptovalute. I dati vengono copiati in un archivio sul computer e quindi inviati al server remoto. I cybercriminali possono usarli per successivi attacchi o venderli nel dark web.
Lo staff di GitHub ha eliminato tutti i commenti segnalati, ma ci sono diversi vittime. In questo caso è necessario cambiare le password di tutti gli account e spostare subito le criptovalute in un altro wallet.