Ignoti cybercriminali hanno utilizzato un metodo piuttosto ingegnoso per distribuire il noto infostealer Lumma Stealer. Alcuni sviluppatori hanno ricevuto una falsa email su una presunta vulnerabilità da correggere nel codice di progetti pubblicati su GitHub. Seguendo la procedura indicata viene scaricato il malware sul computer.
Attenzione al sito GitHub Scanner
I cybercriminali hanno sfruttato la funzionalità Issues di GitHub. Quando viene aggiunta la segnalazione di un problema, gli sviluppatori iscritti al repository del progetto ricevono un’email di avviso. Quelle ricevute alcuni giorni fa sembrano provenire dal team di sicurezza di GitHub.
Il mittente invita lo sviluppatore a visitare il sito GitHub Scanner per avere maggiori informazioni. All’apertura viene chiesto di risolvere una CAPTCHA per dimostrare di essere umani. Premendo il pulsante viene copiato un codice JavaScript nella clipboard (appunti) di Windows. Successivamente viene mostrata la sequenza di tasti da premere.
La prima combinazione è Windows + R
e apre la finestra Esegui. La seconda combinazione CTRL + V
copia nel campo della finestra Esegui il codice JavaScript presente negli appunti. Se l’utente preme Invio, come suggerito, il codice scarica ed esegue il file l6E.exe
tramite PowerShell.
L’eseguibile installa Lumma Stealer sul computer, un noto infostealer che può rubare password, cookie, cronologia di navigazione, file e wallet di criptovalute. Tutti i dati vengono quindi inviati ad un server controllato dai cybercriminali. Difficilmente uno sviluppatore viene ingannato da questo “trucco”, ma gli utenti meno esperti non conoscono i tasti usati per eseguire un comando o il copia&incolla.