GitHub Repository เกือบ 300 แห่ง แอบอ้างเป็นซอฟต์แวร์จริงเพื่อแพร่กระจาย Malware

 

ผู้โจมตีรายหนึ่งได้สร้าง GitHub Repository ปลอมหลายร้อยแห่ง โดยแอบอ้างเป็นซอฟต์แวร์ และโปรเจกต์ด้าน Security ที่ถูกต้องเพื่อแพร่กระจาย Infostealer Malware

แคมเปญนี้อาศัยการหลอกผู้ใช้งานผ่านผลการค้นหาที่เกี่ยวข้องกับผลิตภัณฑ์ด้าน Security, บริการ Cryptocurrency, เครื่องมือด้านการเงิน, Developer Utilities, ผู้ให้บริการ Secure Email, เครื่องมือสำหรับ macOS และซอฟต์แวร์เกมต่าง ๆ

เมื่อเหยื่อติด Malware แล้ว Malware สามารถขโมยข้อมูลจาก Web Browser ได้มากกว่า 19 รายการ, ขโมยข้อมูลจาก Cryptocurrency Wallet 32 แบรนด์ และดึงข้อมูลสำคัญจากแอปพลิเคชันด้าน Messaging และ Social Media ออกไป

บริษัทด้าน Cybersecurity Arctic Wolf ตรวจพบกิจกรรมดังกล่าว หลังพบว่าผลิตภัณฑ์ตัวหนึ่งของบริษัทถูกนำไปแอบอ้างในแคมเปญนี้ตั้งแต่วันที่ 26 มิถุนายน 2026

จากการสืบสวน นักวิจัยพบ GitHub Repository ปลอมรวมทั้งหมด 292 แห่ง โดยแต่ละ Repository จะมีไฟล์ README พร้อมลิงก์ดาวน์โหลดที่พาผู้ใช้ไปยังหน้าเว็บไซต์อันตราย

 

หน้าเว็บไซต์ปลายทางถูกออกแบบให้ดูน่าเชื่อถือ ทั้งข้อความ และการใช้ Branding ของผลิตภัณฑ์ที่ถูกแอบอ้าง เช่น ปุ่ม “Download Secure Content” และตราสัญลักษณ์รับรอง (Trust Badge) ปลอม

เมื่อวิเคราะห์โค้ดของหน้าเว็บ นักวิจัยพบว่าเว็บไซต์ทั้งหมดใช้ Template HTML/JavaScript ชุดเดียวกัน แล้วเปลี่ยนเฉพาะรายละเอียดของแต่ละแบรนด์ที่นำมาแอบอ้าง

Arctic Wolf อธิบายว่า Script ฝั่ง Client จะอ่าน URL แล้วแบ่งออกเป็น 2 ส่วน ได้แก่

path[0] ใช้เป็น user_code ซึ่งเป็น Token ที่เปลี่ยนไปเรื่อย ๆ อย่างเช่น yyvxx9rswefr เพื่อใช้ติดตามว่าเหยื่อเข้ามาจาก GitHub Repository หรือ Redirector ใด และส่วน path[1] ใช้เก็บชื่อโดเมนของ Repository ที่แอบอ้าง เช่น Arctic-Wolf[.]github.io

จากนั้นเว็บไซต์จะนำข้อมูลในส่วนที่สองมาแสดงเป็นชื่อแบรนด์ โดยแทนที่เครื่องหมายขีด  ด้วยช่องว่าง และจัดรูปแบบตัวอักษรให้เหมือนชื่อผลิตภัณฑ์จริง

 

นักวิจัยระบุว่า เว็บไซต์จะส่งไฟล์ ZIP Archive ขนาดใหญ่ให้เหยื่อดาวน์โหลด โดยทั้งชื่อไฟล์ และ Payload ภายในจะถูกเปลี่ยนใหม่ประมาณ ทุก 1 นาที เพื่อหลบเลี่ยงการตรวจจับ ภายใน ZIP จะประกอบด้วย ไฟล์ libcurl.dll ที่ถูกดัดแปลงให้เป็นโทรจัน, โปรแกรม WinGUP Updater ที่เป็นไฟล์ถูกต้อง และมี Digital Signature ถูกต้อง แต่จะถูกเปลี่ยนชื่อให้สอดคล้องกับซอฟต์แวร์ที่กำลังแอบอ้าง

เมื่อผู้ใช้รันไฟล์ดังกล่าว โปรแกรม gup.exe จะใช้เทคนิค DLL Side-loading เพื่อโหลดไฟล์ libcurl.dll จากนั้น DLL จะ Decode และทำการ Reflective Execution ของ Infostealer ที่ฝังอยู่ทั้งหมดภายในหน่วยความจำ โดยไม่ต้องเขียนไฟล์ Malware ลงดิสก์

Infostealer ตัวนี้เชื่อว่าเป็นสายพันธุ์หนึ่งของ BoryptGrab โดยมีเป้าหมายขโมยข้อมูลดังต่อไปนี้

  • รหัสผ่าน, Cookies, ข้อมูลการชำระเงิน และข้อมูลอื่น ๆ จาก Web Browser จำนวน 19 รายการ
  • ข้อมูลจาก Cryptocurrency Wallet 32 แบรนด์
  • Telegram Sessions, Discord Tokens และ Steam Session Tokens
  • Credential ของแอปพลิเคชัน Meta Max
  • ข้อมูลทั้งหมดใน Windows Credential Manager
  • ไฟล์ในโฟลเดอร์ Desktop และ Documents ที่มีชื่อ หรือนามสกุลไฟล์บ่งชี้ว่าเกี่ยวข้องกับ Password, Recovery Phrase, Wallet หรือ Backup
  • Screenshot ของหน้าจอ, รายละเอียดระบบ และรายการซอฟต์แวร์ที่ติดตั้งอยู่

นักวิจัยยังพบความสามารถใหม่ของ BoryptGrab ที่ไม่เคยมีการเปิดเผยมาก่อน โดย Malware สามารถ Bypass ระบบ App-Bound Encryption ของ Google Chrome ได้ผ่านการ Code Injection เข้าไปใน Process ของ Browser โดยตรง

หลังจากรวบรวมข้อมูลทั้งหมดแล้ว Malware จะบีบอัดข้อมูลก่อนส่งไปยัง Command-and-Control (C2) Server ที่ตั้งอยู่ในประเทศรัสเซีย

 

Arctic Wolf ระบุว่า Malware ตัวนี้ ไม่มีการสร้าง Persistence บนเครื่องเหยื่อ แต่ถูกออกแบบมาเพื่อขโมยข้อมูลให้ได้มากที่สุดภายในการรันเพียงครั้งเดียว

นอกจากนี้ Malware ยังไม่มีเทคนิค Anti-analysis สำหรับหลบหลีกการวิเคราะห์ และไม่ได้ลบข้อมูลชั่วคราวที่เก็บไว้ระหว่างเตรียมส่งข้อมูลออกจากเครื่อง ทำให้ยังคงมีหลักฐานด้าน Forensics หลงเหลืออยู่บนระบบ

ขณะที่ Arctic Wolf เผยแพร่รายงาน GitHub ได้ลบ Repository อันตรายจำนวนมากออกจากแพลตฟอร์มแล้ว แต่ยังคงมี GitHub Pages Redirector อีกหลายสิบรายการที่ยังคงใช้งานได้

นักวิจัยยังไม่สามารถระบุได้ว่า แคมเปญนี้เป็นฝีมือของกลุ่มผู้โจมตีกลุ่มใดโดยเฉพาะ แต่ประเมินว่าผู้โจมตีน่าจะเป็นผู้ใช้ภาษารัสเซีย และมีแรงจูงใจทางการเงิน

Arctic Wolf สรุปว่า ความสำเร็จของแคมเปญนี้ขึ้นอยู่กับการที่ผู้ใช้เชื่อถือลิงก์ดาวน์โหลดซอฟต์แวร์แบบฟรีจาก GitHub ที่ไม่ใช่แหล่งทางการ จึงแนะนำให้ผู้ใช้งานตรวจสอบความน่าเชื่อถือของ Repository ทุกครั้งก่อนดาวน์โหลด หรือรันไฟล์

นอกจากนี้ นักวิจัยยังเผยแพร่ YARA Rule สำหรับตรวจจับกิจกรรมดังกล่าว พร้อมทั้ง Indicators of Compromise (IoCs) ที่เกี่ยวข้องกับ Malware ตระกูล BoryptGrab เพื่อช่วยให้องค์กรสามารถนำไปใช้ตรวจจับ และตอบสนองต่อเหตุการณ์ได้รวดเร็วยิ่งขึ้น

ที่มา : bleepingcomputer