虚假 GitHub 存储库：Lumma 窃取者，基于 AI 的恶意软件攻击

Trend Micro的研究人员发现了一个恶意软件活动，威胁者利用欺诈性的 GitHub 存储库来分发恶意软件。这些存储库伪装成游戏作弊软件、破解软件和实用工具，充当 SmartLoader 的交付机制，随后部署 Lumma Stealer 和其他恶意软件威胁。

攻击者利用生成式人工智能创建令人信服的存储库描述，这些描述与合法项目非常相似。在 ZIP 存档中，他们隐藏了经过混淆的 Lua 脚本，这些脚本在提取后会触发恶意负载的执行。

一旦被入侵，Lumma Stealer 就会窃取加密货币钱包、双因素身份验证 (2FA) 扩展、凭证和个人数据，可能导致重大财务损失。虽然网络犯罪分子以前将恶意文件作为附件上传到 GitHub，但他们现在已转向构建整个欺骗性存储库，这使得检测和删除工作变得更加困难。

受感染档案中包含的恶意文件

lua51.dll – LuaJIT 解释库luajit.exe – Lua 脚本的可执行加载器userdata.txt – 隐藏的恶意脚本Launcher.bat – 执行 luajit.exe 的脚本

执行后，SmartLoader 会下载“search.exe”，从而激活 Lumma Stealer。受感染的系统随后会与“pasteflawwed[.]world”的命令与控制 (C2) 服务器建立通信，并将窃取的数据传输给攻击者。

利用对 GitHub 和人工智能驱动的自动化的信任

网络犯罪分子利用 GitHub 作为可信平台的声誉来传播恶意软件。通过采用人工智能驱动的自动化，他们简化了欺骗性存储库的创建，增加了其活动的规模和复杂性。

减轻威胁的安全建议

仅从官方来源下载软件，避免可疑的存储库。通过分析提交历史、作者活动和文档结构来验证存储库的真实性。部署强大的防病毒解决方案来检测和阻止潜在威胁。在执行之前对下载的文件进行彻底的分析。实施网络安全措施，阻止访问已知的恶意存储库。监控网络活动以发现可疑连接的迹象。限制未经授权的脚本和应用程序的执行。对员工进行社会工程策略以及从未经验证的来源下载软件所带来的风险的教育。

由于网络犯罪分子的手段不断改进，只有采取主动的网络安全方法才能有效地降低风险并保护敏感数据。

原文始发于微信公众号（TtTeam）：虚假 GitHub 存储库：Lumma 窃取者，基于 AI 的恶意软件攻击