Một lỗ hổng tồn tại trên GitHub đang bị các tác nhân đe dọa lợi dụng để phát tán phần mềm độc hại bằng cách sử dụng các URL được liên kết với kho lưu trữ của Microsoft. Lỗ hổng này có thể bị lạm dụng với bất kỳ kho lưu trữ công khai nào trên GitHub, cho phép kẻ tấn công tạo ra những mồi nhử lừa đảo trông rất tin cậy để đánh lừa người dùng.
Mới đây, hãng bảo mật McAfee đã công bố một báo cáo về trình tải phần mềm độc hại LUA mới được phân phối thông qua kho lưu trữ Microsoft GitHub hợp pháp cho Trình quản lý thư viện C++ cho Windows, Linux và MacOS, được gọi là vcpkg và thư viện STL.
Các URL của trình cài đặt phần mềm độc hại bao gồm:
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat[.]Lab[.]2[.]7[.]2[.]zip
ttps://github[.]com/microsoft/STL/files/14432565/Cheater.Pro[.]1[.]6[.]0[.]zip
Tuy có vẻ kỳ lạ khi một kho lưu trữ của Microsoft lại chứa phần mềm độc hại, nhưng thông tin từ trang BleepingComputer đã tiết lộ rằng các tệp này không phải là một phần của vcpkg. Thay vào đó, chúng được tải lên như một phần của ghi chú hoặc cam kết về một vấn đề trong dự án.
Cách mà GitHub hoạt động là khi người dùng đính kèm một tệp vào bình luận, GitHub sẽ tự động tạo liên kết tải xuống. Ngay cả khi bình luận được xóa, các tệp vẫn tồn tại trên CDN của GitHub và các URL tải xuống vẫn hoạt động.
Phân tích sâu hơn về các tệp độc hại trên GitHub và cơ sở hạ tầng liên quan cho thấy các cuộc tấn công có liên quan đến một chiến dịch lớn hơn được thiết kế để phát tán phần mềm độc hại RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot và DarkComet RAT ít nhất kể từ tháng 8 năm 2023.
Phương thức lây nhiễm Rhadamanthys cũng đáng chú ý vì nạn nhân truy cập các trang web quảng cáo ứng dụng giả mạo sẽ được chuyển hướng đến các payload (tệp/phần mềm độc hại) được lưu trên Bitbucket và Dropbox, cho thấy sự lạm dụng rộng rãi các dịch vụ hợp pháp.
Sự phát triển này diễn ra khi nhóm Threat Intelligence của Microsoft cho biết backdoor macOS Activator vẫn là một “mối đe dọa đáng lưu ý”, được phát tán thông qua các tệp image giả dạng các phiên bản bẻ khóa của phần mềm hợp pháp và đánh cắp dữ liệu từ các ứng dụng ví Exodus và Bitcoin-Qt.
Để giảm thiểu các rủi ro, người dùng luôn phải cảnh giác khi tải xuống/cài đặt một ứng dụng/phần mềm mới trên thiết bị của mình, không tải xuống phần mềm từ những nguồn không tin cậy; đồng thời lưu ý các quyền mà ứng dụng yêu cầu trong quá trình cài đặt hoặc sử dụng, nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất bạn nên hủy cài đặt ứng dụng ngay.
Fanpage: Trí Việt JSC
Nguồn: https://thehackernews.com/2024/05/cyber-criminals-exploit-github-and.html