Исследователи Trend Micro обнаружили кампанию , где злоумышленники используют поддельные репозитории GitHub для распространения вредоносного ПО. Под видом игровых читов, взломанных программ и утилит они распространяют SmartLoader, который затем загружает Lumma Stealer и другие угрозы.
Преступники используют генеративный ИИ для создания правдоподобных репозиториев с описаниями, похожими на легитимные проекты. ZIP-архивы содержат обфусцированные скрипты на Lua, которые активируют вредоносные программы при распаковке.
Попав на устройство, Lumma Stealer ворует криптовалютные кошельки, 2FA-расширения, учётные данные и личные данные, что может привести к финансовым потерям. Ранее злоумышленники загружали вредоносные файлы в GitHub как вложения, но теперь они создают целые поддельные репозитории, усложняя их обнаружение.
Файлы в заражённых архивах:
– lua51.dll – библиотека интерпретатора LuaJIT;
– luajit.exe – исполняемый файл загрузчика Lua;
– userdata.txt – скрытый вредоносный скрипт;
– Launcher.bat – скрипт для запуска luajit.exe.
После запуска SmartLoader загружает файл “search.exe”, который активирует Lumma Stealer. Затем заражённое устройство подключается к C2-серверу “pasteflawwed[.]world”, передавая украденные данные.
Киберпреступники используют доверие к GitHub, чтобы распространять вредоносное ПО, а применение ИИ позволяет автоматизировать создание поддельных репозиториев.
Чтобы защититься от новой угрозы исследователи безопасности рекомендуют:
– Загружать ПО только с официальных источников, избегая подозрительных репозиториев.
– Проверять подлинность репозиториев, анализируя историю изменений, активность авторов и структуру документации.
– Использовать антивирусные решения для обнаружения и блокировки угроз.
– Анализировать скачанные файлы перед их запуском.
– Внедрять меры сетевой безопасности, блокируя доступ к известным вредоносным репозиториям.
– Проводить мониторинг активности в сети на предмет подозрительных соединений.
– Ограничивать возможность запуска неавторизованных скриптов и программ.
– Проводить обучение сотрудников, объясняя риски, связанные с социальной инженерией.
Преступники постоянно адаптируются, поэтому только проактивный подход к безопасности поможет минимизировать риски и защитить данные.