Hackers proberen via valse fixes in tienduizenden GitHub-comments de zogenoemde Lumma Stealer-malware te verspreiden. GitHub probeert de valse fixes te verwijderen, maar deze maken inmiddels wel slachtoffers.
Volgens de Reddit-post van een ontwikkelaar aan de teloxide rust library op GitHub ontving hij vijf verschillende comments in de GitHub issues die uiteindelijk valse fixes bleken. Erger nog, deze valse fixes bleken de Lumma Stealer-malware te pushen.
Uit volgend onderzoek van experts bleek dat tienduizenden andere ontdekte comments op GitHub ook werden misbruikt voor het pushen van de specifieke malware. Hierbij bleek het om maar liefst 29.000 valse comments te gaan in een periode van drie dagen.
Downloaden .exe-bestand
De bewuste valse comments werden gepost bij een reeks van zeer uiteenlopende GitHub-projecten en boden allemaal ‘fixes’ aan voor problemen van andere personen.
Meer concreet roepen de comments op een met een wachtwoord beschermd archief te downloaden van de website mediafire.com. Ook kunnen zij via een bitly-URL dit bestand downloaden en het daarin aanwezige .exe-bestand uitvoeren. Het in de comments gegeven wachtwoord voor toegang is ‘changeme’.
Infostealer van gevoelige data
De verspreide Lumma Stealer-malware is een infostealer die vooral cookies, inloggegevens, wachtwoorden en creditcard-informatie probeert te stelen. Ook steelt het de browse-geschiedenis van browsers als Chrome, Edge, Firefox en andere op Chromium gebaseerde webbrowsers.
Verder steelt de malware ook crypto wallets, private keys en tekstbestanden met extensies als seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt, and *.pdf. Deze tekstbestanden bevatten vaak crypto-sleutels en wachtwoorden.
GitHub is inmiddels druk bezig met het verwijderen van de valse comments. Toch is het zeer waarschijnlijk dat de malware al slachtoffers heeft gemaakt. Mogelijke slachtoffers wordt gevraagd alle wachtwoorden voor accounts te vervangen. Ook moeten zij eventuele crypto-munten naar een nieuwe wallet migreren.
Lees ook: Hackers verspreiden malware via URL’s in GitHub-comments