據(jù)BleepingComputer消息，GitHub  teloxide rust 庫的一位貢獻者發(fā)現(xiàn)，GitHub項目中的評論以提供修復程序為幌子，實際在其中植入了Lumma Stealer 惡意軟件。

BleepingComputer 進一步審查發(fā)現(xiàn)， GitHub 上的各種項目中有數(shù)千條類似的評論，這些評論都為用戶的提問提供了虛假的修復程序。

以下圖為例，該評論告訴用戶從 mediafire.com 或通過 bit.ly URL 下載受密碼保護的壓縮包，然后運行其中的可執(zhí)行文件。 逆向工程師告訴 BleepingComputer，僅在 3 天時間里就有超過2.9萬條推送該惡意軟件的評論。

傳播Lumma Stealer 惡意軟件的評論回復

含有 Lumma Stealer的安裝程序

單擊該鏈接會將用戶帶到一個名為“fix.zip”的文件下載頁面，其中包含一些 DLL 文件和一個名為 x86_64-w64-ranlib.exe 的可執(zhí)行文件。通過在 Any.Run分析發(fā)現(xiàn)，這是一個Lumma Stealer 信息竊取惡意軟件。

Lumma Stealer 是一種高級信息竊取程序，能夠從 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 瀏覽器中竊取 cookie、憑證、密碼、信用卡和瀏覽歷史記錄。此外，它還能竊取加密貨幣錢包、私鑰和名稱為 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、單詞、wallet.txt、*.txt 和 *.pdf 等名稱的文本文件。這些數(shù)據(jù)被收集并發(fā)送回給攻擊者，攻擊者可以使用這些信息進行進一步的攻擊或在網絡犯罪市場上出售。

雖然 GitHub的工作人員會在檢測到這些評論時進行刪除，但已經有受害者在Reddit上進行了反饋。

就在最近，Check Point Research 披露了名為Stargazer Goblin 的攻擊者進行的類似活動，他們通過在Github上創(chuàng)建3000多個虛假賬戶傳播惡意軟件。目前尚不清楚這兩起事件是否由同一攻擊者所為。