根据安全新闻网站Bleeping Computer的报道,有人锁定经常使用GitHub、维护或关注特定开源项目的开发人员,发送钓鱼邮件来传播盗取信息软件Lumma Stealer。攻击者使用恶意GitHub账号,在目标存储库通报新问题(issue),声称该项目存在安全漏洞,诱骗想要协助处理的用户访问冒牌的GitHub Scanner域名,一旦用户照做,计算机就有可能被植入恶意软件。
这起事故被披露的原因,是该新闻网站接获许多GitHub用户反映,他们表示,一直收到自己参与的项目电子邮件通报,要求他们去处理存储库的安全漏洞,并访问github-scanner“.”com进一步了解相关资讯。
然而,一旦用户依照信件的说明访问该网站,网页就会要他们进行图灵验证,要依照指示证明他们是人类。
若是用户点击“我不是机器人”的按钮,网站后台的JavaScript脚本就会将恶意程序代码复制到计算机的剪贴板。
接着,网站就会要求用户按下键盘组合键来进行“验证”:先是按下Windows键和R打开执行窗口,然后按Ctrl及V粘贴剪贴板的内容,再按下Enter。
假如用户照做,计算机就会执行黑客通过网站后台粘贴的恶意程序代码,下载执行文件l6E.exe,Bleeping Computer经过分析,确认该执行文件就是盗取信息软件Lumma Stealer。
值得留意的是,类似的攻击行动并非首例,一个月前,安全企业Palo Alto Networks旗下威胁情报团队Unit 42发现类似的图灵验证网站,同样要求用户依次按下特定快速键执行恶意程序代码,意图于受害计算机传播Lumma Stealer;接着Bleeping Computer报道有人假借通报漏洞为由,向GitHub用户传播该盗取信息软件的情况。
