Operação "Muck and Load": Malware em Falsos Scanners Go DNS no GitHub

Mais de 200 Repositórios GitHub Infectados com 700 Módulos Maliciosos desde Janeiro

A empresa de segurança Socket rastreou um módulo malicioso em 222 repositórios do GitHub, espalhados por 190 contas. Este módulo disseminou malwares como Vidar, RATs e mineradores de XMRig, com cargas criptografadas escondidas em plataformas como Pastebin, Telegram e YouTube.

O Golpe do Scanner DNS: Como Funciona

  • A Socket, empresa de segurança da cadeia de suprimentos, identificou um módulo Go que se disfarçava de scanner de DNS e subdomínios.
  • Na realidade, agia como um carregador inicial de malware para Windows.
  • Rastreado em uma rede de 222 repositórios GitHub, distribuídos em 190 contas.
  • Desde 24 de janeiro, o módulo acumulou mais de 1.200 versões, das quais mais de 700 são maliciosas.
  • A campanha, denominada “Operation Muck and Load”, foi reportada e o módulo foi bloqueado pela equipe de segurança Go.

Mecanismo de Proliferação

  • Go gera pseudo-versões a partir de commits sem tags de versão semânticas.
  • A proliferação é atribuída ao fluxo de trabalho GitHub Actions do próprio ator da ameaça.
  • Commits cronometrados foram resolvidos como versões, inflando o histórico de lançamentos do utilitário scanner.

A Identidade do Ameaçador

  • Workflow idêntico encontrado nos repositórios: email Git definido como ischhfd83@rambler.ru.
  • Nome de usuário visível do commit definido como o proprietário atual do repositório.
  • Um arquivo de log reescrito é forçado a ser enviado a cada minuto.
  • Isso criou atividade atribuída ao proprietário em contas descartáveis, mantendo uma “impressão digital” reutilizável.
  • Mínimo confirmado de 222 repositórios com este padrão.

Ação do Malware

  • O arquivo main.go do módulo executa um comando PowerShell oculto.
  • Este comando baixa conteúdo de muckcoding.com, decodifica-o com certutil e o executa, contornando as políticas de execução.
  • O script decodificado é um carregador de várias camadas, utilizando codificação Base64 e decodificação XOR.
  • Contém um comentário em turco que significa: “execute diretamente, nenhuma outra etapa é necessária.”

Estratégia de Distribuição de Cargas

  • O resolvedor não usa URLs de carga codificadas.
  • Ele recupera texto de plataformas públicas, procurando pela string “LastW”.
  • Decifra o “blob” seguinte com uma chave codificada para encontrar o local de download real.
  • Pontos de entrega primários: Pastebin e Rlim.
  • Alternativas: YouTube, Instagram, Telegram, Google Docs e GitCode.
  • Permite ao atacante atualizar o conteúdo do resolvedor sem modificar o carregador inicial, dificultando a detecção.

Implantação e Tipos de Malware

  • A URL resolvida aponta para um arquivo 7-Zip protegido por senha, hospedado como um ativo de lançamento do GitHub.
  • O carregador o extrai para um diretório que simula uma instalação legítima do Microsoft Photos.
  • Executa Microsoft.exe a partir desse caminho, com uma janela oculta.
  • Cargas decodificadas incluem RATs (como AsyncRAT, Quasar, Remcos) e infostealers.

Variedade de Ameaças Detectadas

  • Pelo menos 14 arquivos de malware únicos confirmados.
  • Incluem carregadores e downloaders de Trojan, infostealer Vidar, payloads de dropper e spyware, e criptominadores Monero (XMRig).
  • Um arquivo Loader.exe idêntico em bytes foi encontrado em quatro repositórios distintos.

Temas de Isca Utilizados

  • Integrações com MetaMask e Trust Wallet.
  • Utilitários de frase semente.
  • Automação para Binance e PayPal.
  • Bots de Telegram e Discord.
  • Cheats para jogos como PUBG, Valorant e Escape from Tarkov.
  • Exemplo: Repositório PUBG “nrevv1lad/Pubg-DESYNC-Menu” que se passava por cheat, mas continha um Loader.exe ligado ao Vidar.

Conexão com Campanhas Anteriores

  • A Socket, com alta confiança, liga a “Operation Muck and Load” a um cluster documentado pela Sophos em junho do ano passado.
  • Pesquisadores da Sophos rastrearam 141 repositórios GitHub (133 backdoored) ao mesmo endereço de e-mail: ischhfd83@rambler.ru.
  • “Muck” foi identificado como um dos pseudônimos do ator, agora presente nos domínios muckcoding.com e muckdeveloper.com.
Baseado no artigo de Tom’s Hardware