El sistema de comentarios de problemas (Issue) de GitHub ha sido abusado, y los hackers están utilizando esta función para propagar el malware Lumma Stealer. Los usuarios deben tener cuidado con cualquier archivo o enlace en GitHub y, en caso de ser atacados, deben cambiar sus contraseñas de inmediato para garantizar la seguridad de sus computadoras personales.
Este incidente fue reportado por primera vez por un desarrollador de la biblioteca Rust, teloxide, en el foro de Reddit. Descubrió que había comentarios falsos en su biblioteca que aparentaban ser soluciones, pero en realidad contenían malware.
La imagen a continuación muestra un ejemplo de un comentario de un hacker propagando malware, con enlaces de descarga a través de bit.ly o mediafire, y en los comentarios observados hasta ahora, la contraseña utilizada es “changeme”.
Imagen 1 Comentario de un hacker propagando malware, imagen tomada de BleepingComputer
Si se hace clic en el enlace de la imagen 1, se descargará un archivo llamado “fix.zip”, que al descomprimirlo contiene el contenido de la imagen 2. Si se carga en la plataforma de análisis de malware AnyRun, se identificará como el malware Lumma Stealer.
Imagen 2 Archivo con el malware Lumma Stealer, imagen tomada de BleepingComputer
Lumma Stealer es un tipo de malware que roba datos, incluyendo cookies, credenciales, tarjetas de crédito, contraseñas, historial de navegación, etc. y los envía de vuelta al atacante. Luego, el atacante puede utilizar esta información para realizar ataques adicionales o venderla en el mercado negro.
El investigador de seguridad Nicholas Sherlock informó que en los últimos 3 días se han encontrado más de 29,000 comentarios que propagan el malware Lumma Stealer en GitHub. Los administradores de GitHub también han confirmado que han eliminado estos comentarios, pero aún se han reportado casos de usuarios que han sido atacados en Reddit.
El mes pasado, los investigadores de Check Point publicaron un informe sobre la organización de hackers Stargazer Goblin, que utilizó más de 3,000 cuentas falsas en GitHub para propagar malware. Aunque no se sabe si esto está relacionado con el incidente actual, los usuarios deben ser cautelosos y cuidadosos con cualquier archivo o enlace en GitHub. En caso de ser atacados, deben cambiar todas sus contraseñas para garantizar la seguridad de sus computadoras personales.