
На GitHub обнаружили масштабную атаку: 292 репозитория с инфостилерами, которые имитировали известные инструменты в области безопасности, финансов и разработки.
Об атаке рассказала компания Arctic Wolf. По данным исследователей, все репозитории содержали файл README со ссылкой на страницу загрузки с ZIP‑архивом. Страница, как правило, была оформлена так, чтобы быть похожей на легитимную, а имя и содержимое архива менялись примерно раз в минуту, чтобы усложнить отслеживание. Внутри находилась троянизированная библиотека libcurl.dll и модуль обновления WinGUP, который получает новое имя в зависимости от продукта, под которым он подписывается.
После запуска исполняемого файла gup.exe загружал libcurl.dll, которая декодировала и запускала встроенный инфостилер. По поведению вредонос похож на семейство BoryptGrab и ориентирован на сбор данных — пароли и куки из 19 браузеров, данные из 32 криптовалютных кошельков, сессии и токены Telegram, Discord и Steam, учётные данные российского мессенджера Max, содержимое диспетчера учётных данных Windows, а также скриншоты, сведения о системе и списки установленного ПО.

Arctic Wolf уточняет, что вредоносная программа не присутствует на хосте постоянно, а предназначена для сбора как можно большего количества данных за одно выполнение.
К моменту публикации отчёта большая часть фальшивых репозиториев была удалена. Arctic Wolf рекомендует пользователям скачивать софт только с официальных сайтов и проверять цифровые подписи, а администраторам — внимательно мониторить сетевой трафик и сканировать загрузки на предмет троянов и необычных библиотек, загружаемых в память.
ссылка на оригинал статьи https://habr.com/ru/articles/1060168/