การสืบสวนสแกมบน GitHub: 'Mod' และ 'Crack' หลายพันรายการที่ขโมยข้อมูลของคุณ

 (timsh.org)
1 คะแนน โดย GN⁺ 2025-03-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีรีโพซิทอรีจำนวนมากบน GitHub ที่ปลอมตัวเป็น "mods" หรือ "cracks" และเป็นการหลอกลวงที่เมื่อผู้ใช้ดาวน์โหลดแล้วจะขโมยข้อมูลสำคัญในคอมพิวเตอร์
  • มีการใช้ชื่อโปรแกรมและเกมยอดนิยม เช่น Roblox, Fortnite, FL Studio, Adobe Photoshop เพื่อโฆษณาเหมือนเป็น "ดาวน์โหลดฟรี" หรือ "เวอร์ชันแคร็ก"
  • เมื่อรันไฟล์อันตรายนี้ มัลแวร์ขโมยข้อมูลอย่าง Redox Stealer จะเริ่มทำงาน
  • ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ Discord หรือเว็บแชร์ไฟล์อย่าง Anonfiles เพื่อนำไปขโมยกระเป๋าคริปโตหรือบัญชีโซเชียลมีเดียต่อ
  • สามารถค้นหารีโพซิทอรีเหล่านี้เจอได้ง่ายผ่านการค้นหาบน GitHub และคาดว่าขนาดจริงมีอย่างน้อยมากกว่า 1,000 รายการ
  • แม้บางครั้งจะมีการเปิด issue สาธารณะเตือนว่าเป็น "ไวรัส" หรือ "มัลแวร์" แต่มีเพียงราว 10% ของทั้งหมด ทำให้ผู้ใช้จำนวนมากยังเสี่ยงอันตราย

TL;DR

  • กระบวนการค้นพบ
    • พบคู่มืออย่างละเอียดในฟอรัมเกี่ยวกับ social engineering ที่สอนวิธีกระจายรีโพซิทอรีอันตรายจำนวนมากบน GitHub
    • จากคู่มือนั้นจึงติดตามไปถึงรีโพซิทอรีที่ผู้โจมตีสร้างขึ้นจริง
  • ขนาดของปัญหา
    • พบรีโพซิทอรีมากกว่า 1,115 รายการ และในนั้นมีอย่างน้อย 351 รายการที่มีโครงสร้างน่าสงสัยและมีโอกาสสูงว่าเป็นอันตราย
    • มีรีโพซิทอรีไม่ถึง 10% เท่านั้นที่ถูกเตือนผ่าน ‘issue’ ส่วนใหญ่ยังดูเหมือนปกติ
  • ลักษณะของมัลแวร์
    • ดูเหมือนเป็นสายพันธุ์ของ Redox Stealer ที่ใช้ Discord webhook เพื่อขโมยข้อมูลสำคัญหลายประเภทจากคอมพิวเตอร์เหยื่อ เช่น คุกกี้ รหัสผ่าน กระเป๋าคริปโต และบัญชีเกม
    • หลังส่งออกเป็นไฟล์บีบอัดผ่านเว็บแชร์ไฟล์ (เช่น Anonfiles) แล้ว ก็จะส่งลิงก์ต่อผ่าน webhook เพื่อนำไปวิเคราะห์และซื้อขายกัน

Some background

  • การโปรโมตผ่านบอต Telegram
    • ผู้เขียนพบการโปรโมตที่เกี่ยวข้องกับฟอรัมจากข้อความของบอตวิเคราะห์ TikTok ที่เคยใช้งานมาก่อน
    • ฟอรัมดังกล่าวสามารถสมัครสมาชิกด้วยอีเมลและรหัสผ่านเพื่อเข้าดูการซื้อขายผิดกฎหมาย/คู่มือต่าง ๆ ได้ โดยไม่ต้องมีคำเชิญแยกหรือเข้าใช้งานผ่าน Tor
  • ลักษณะของฟอรัม
    • เป็นโครงสร้างที่เปิดให้แชร์กันได้อย่างอิสระ ตั้งแต่การซื้อขายบัญชี (เช่น TikTok, Instagram, Facebook Ads) ไปจนถึงข้อมูลเกี่ยวกับโปรแกรม "affiliate" สำหรับใช้หลอกลวง
    • แม้จะมีสแกมชื่อดังอยู่แล้วมากมาย เช่น ransomware as a service (RaaS), CryptoGrab แต่คู่มือการกระจายมัลแวร์ผ่าน GitHub ถือว่าใหม่และน่าตกใจ
  • Redox Stealer
    • เป็นมัลแวร์ที่มีการเผยแพร่ผ่าน Telegram เป็นต้น และเป็น Python script ที่ค่อนข้างเรียบง่าย
    • มีโครงสร้างที่รวบรวมข้อมูลสำคัญทุกอย่างที่หาได้ในพีซี แล้วส่งไปยังเซิร์ฟเวอร์ Discord

วิธีถล่ม [ทราฟฟิก] ใส่ Github ตั้งแต่ A ถึง Z

  • การจัดหาบัญชี GitHub จำนวนมาก
    • ซื้อบัญชีในราคาประมาณ 1.5 ดอลลาร์ หรือสร้างหลายบัญชีเองเพื่อนำมาใช้โจมตี
  • วิธีอัปโหลดไฟล์อันตราย
    • แพ็กเป็นไฟล์ .zip, .rar แล้วอัปขึ้น GitHub หรือใส่ลิงก์แชร์ไฟล์ภายนอกไว้ใน README เพื่อหลบการตรวจไวรัส
  • เทมเพลต README
    • จัดรูปแบบให้ดูน่าเชื่อถือด้วยการแนบสกรีนช็อตจริง วิดีโอ หรือผลตรวจ virustotal (ปลอม)
    • ใช้ ChatGPT เป็นต้น ในการปรับข้อความใน README ทีละเล็กน้อยเพื่อหลบการตรวจจับความซ้ำซ้อน
  • การใช้แท็ก Topics
    • ใช้ฟีเจอร์ topic ของ GitHub เพื่อใส่คีย์เวิร์ดซ้ำ ๆ เช่น ชื่อเกม, crack, hack, cheat
    • ทำให้มีโอกาสสูงที่จะถูกค้นเจอโดยคนที่ค้นหา "แคร็กฟรี" เป็นต้น ในเสิร์ชเอนจิน
    • มีการแนะนำวิธีตรวจสอบและหลีกเลี่ยงหัวข้อที่เป็น banned topic

การวิเคราะห์ Redox Stealer

  • กระบวนการรันไฟล์
    • เมื่อผู้ใช้ดาวน์โหลดรีโพซิทอรีและรันสคริปต์อันตราย การเก็บข้อมูลภายในพีซีจะเริ่มขึ้น
    • เป้าหมายการขโมยมีจำนวนมาก เช่น ip, geolocation, ชื่อผู้ใช้, คุกกี้เบราว์เซอร์, รหัสผ่าน, Discord, Telegram, Steam, บัญชี Riot Games และไฟล์กระเป๋าคริปโต
  • วิธีเก็บข้อมูล
    • มัลแวร์จะคัดลอกไฟล์ฐานข้อมูล sqlite DB ไปไว้ชั่วคราวเพื่อดึงคุกกี้เบราว์เซอร์ รหัสผ่าน และ Discord token
    • มีการบีบอัดแล้วอัปโหลดไฟล์ของส่วนขยายคริปโตอย่าง Metamask, Exodus รวมถึงไฟล์ข้อมูลบัญชีเกมอย่าง Steam และ Riot Games แยกต่างหาก
  • การส่งข้อมูลออก
    • ไฟล์ที่ขโมยมาได้จะถูกอัปโหลดไปยังบริการแชร์ไฟล์อย่าง Anonfiles และลิงก์หรือข้อมูลเหล่านั้นจะถูกส่งต่อไปยังผู้โจมตีผ่าน Discord webhook
    • เป้าหมายสุดท้ายคือการเอาบัญชีที่ขายต่อได้ (เช่น คริปโตหรือไอเท็มเกม) หรือข้อมูลทางการเงิน (บัตรเครดิต, PayPal เป็นต้น) ไป

การค้นหาและการตรวจพบบน GitHub

  • การประเมินขนาด
    • มีคำแนะนำว่าต่อให้มีเพียงคนเดียวอัปโหลดรีโพซิทอรี 300-500 รายการ ก็สามารถสร้างล็อกเหยื่อได้มากกว่า 50-100 รายการต่อวัน
    • ในความเป็นจริงมีความเป็นไปได้สูงว่าหลายคนกำลังทำสคีมแบบนี้พร้อมกัน จึงน่าจะมีรีโพซิทอรีอันตรายอยู่มากกว่านี้มาก
  • สคริปต์ PoC (Proof of Concept)
    • ผู้เขียนนำคีย์เวิร์ดจากคู่มือ (เช่น "fortnite hack", "roblox cheat") มาผสมกัน แล้วใช้ GitHub Search API ครอลรีโพซิทอรีโดยอัตโนมัติ
    • เมื่อตรวจสอบด้วยคีย์เวิร์ด topic ราว 2,100 คำ พบรีโพซิทอรี 1,155 รายการ
    • ในจำนวนนั้น 351 รายการถูกประเมินว่ามีความเป็นไปได้สูงว่าเป็นอันตราย จาก README และโครงสร้างไฟล์ .rar/.zip
  • ปัญหา
    • มีรีโพซิทอรีไม่ถึง 10% ที่มี issue ระบุว่า “นี่คือมัลแวร์” ทำให้ระบบเตือนผู้ใช้ยังไม่เพียงพอ
    • ผู้ใช้จำนวนมากมีความเสี่ยงที่จะเข้าใจผิดว่าเป็นโปรแกรมปกติและเผลอรันมัน

Conclusion

  • ข้อมูลผิดกฎหมายบนโลกออนไลน์
    • มีฟอรัมที่เข้าถึงได้ง่ายผ่านเว็บทั่วไปโดยไม่ต้องใช้ Tor หรือคำเชิญพิเศษ
    • มีการแชร์สแกมหลากหลายรูปแบบอย่างคึกคัก เช่น ransomware, crypto drainer
  • ความเรียบง่ายของ Redox Stealer
    • ใช้เพียงโค้ด Python หลักร้อยถึงหลักพันบรรทัด ก็สามารถรวบรวมข้อมูลจำนวนมหาศาลโดยอัตโนมัติและส่งให้ผู้โจมตีได้
    • ปัญหาคือมันไม่ได้มีความซับซ้อนทางเทคนิคสูง จึงถูกนำไปกระจายจำนวนมากได้ง่าย
  • ความจำเป็นที่ GitHub ต้องรับมือ
    • แม้แต่รีโพซิทอรีที่มี issue เปิดเผยชัดว่าเป็นอันตราย ก็ยังมักถูกปล่อยทิ้งไว้อย่างนั้น
    • หาก GitHub ทำการมอนิเตอร์และบล็อกเชิงรุก ความเสียหายน่าจะลดลงได้
  • บทสรุปส่งท้าย
    • เวลาจะดาวน์โหลดแคร็กเกมหรือโปรแกรม จำเป็นต้องตรวจสอบให้รอบคอบว่าเป็นโอเพนซอร์สหรือไม่ และผ่านการตรวจไวรัสหรือยัง
    • ผู้เขียนระบุว่าจะมีการวิเคราะห์ต่อเนื่องเพิ่มเติมเกี่ยวกับสแกม/โฆษณาหลอกลวงในอนาคต

สรุป

  • กำลังมีการเผยแพร่มัลแวร์ผ่าน GitHub : ส่วนใหญ่ใช้ชื่อว่า "ฟรี", "crack", "mod" แต่แท้จริงแล้วมี Redox Stealer รวมอยู่ด้วย
    • Redox Stealer นั้นง่ายและไม่ซับซ้อน จึงทำให้ใครก็สามารถนำไปกระจายจำนวนมากได้ง่าย
  • กลุ่มเป้าหมายความเสียหายหลัก : ข้อมูลบัญชีหลากหลายประเภท เช่น กระเป๋าคริปโต, บัญชี Steam/Riot Games, PayPal, Facebook, Twitter
  • วิธีป้องกัน
    • ดาวน์โหลดจากแหล่งที่เชื่อถือได้เท่านั้น
    • ตรวจสอบลิงก์หรือ README ที่น่าสงสัยอย่างละเอียด
    • ตรวจดู GitHub Issues, ดาว, หรือรีวิวจากผู้ใช้อื่น
    • ใช้แอนติไวรัสและอัปเดตแพตช์ความปลอดภัยล่าสุดเสมอ
  • การขยายตัวของสแกมที่อิงกับฟอรัม
    • ด้วยอุปสรรคในการเข้าถึงที่ต่ำ ใครก็สามารถเอาคู่มือไปใช้แล้วเผยแพร่สคริปต์อันตรายได้
    • ผู้โจมตีหนึ่งรายสามารถซื้อหลายบัญชีแล้วอัปโหลดรีโพซิทอรีหลายร้อยรายการเพื่อขยายการแพร่กระจาย
  • ความรับผิดชอบของ GitHub และชุมชนความปลอดภัย
    • จำเป็นต้องเสริมระบบระบุและบล็อกรีโพซิทอรีอันตรายให้แข็งแรงขึ้น
    • การสร้างความตระหนักให้ผู้ใช้ทั่วไปเป็นสิ่งจำเป็นอย่างยิ่ง
  • รีโพซิทอรี GitHub ที่อ้างว่าแจก "Crack" หรือ "mod" ฟรี เป็นสิ่งที่ต้องสงสัยไว้ก่อนเสมอ
  • สเปรดชีต (ดูตามลิงก์) มีรายชื่อรีโพซิทอรีน่าสงสัยมากกว่า 1,000 รายการที่ผู้เขียนรวบรวมไว้
  • มัลแวร์ทั้งหมดเชื่อมโยงกับเป้าหมายเดียวกัน คือผลประโยชน์ทางการเงิน และมีลักษณะเด่นคือแพร่กระจายได้รวดเร็วในวงกว้าง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-03-01
ความคิดเห็นจาก Hacker News

  • Microsoft มีปัญหาอยู่เป็นปกติในการกำจัดสิ่งที่ไม่จำเป็นออกจากระบบนิเวศของตน

    • พอร์ทัล feedback.azure.com เต็มไปด้วยคอมเมนต์และลิงก์สแปมกับมัลแวร์
    • แม้แต่ทีมภายในเองก็ยังหาคนมาแก้ปัญหานี้ไม่ได้

  • มีการแจ้งเตือนระบบที่เพิ่งถูกเจาะใหม่ผ่าน Discord webhook

    • Discord ตอบสนองต่อรายงานการใช้งานในทางที่ผิดได้รวดเร็ว
    • ถ้าเขียนสคริปต์ง่าย ๆ เพื่อดึงลิงก์ webhook ออกมาได้ ก็น่าจะใช้ปิดบัญชีได้
    • จากประสบการณ์ที่ผ่านมา Discord ค่อนข้างกระตือรือร้นในการแบนบัญชีของคนที่มีส่วนร่วมเพื่อจุดประสงค์ผิดกฎหมาย

  • Microsoft มีส่วนต้องรับผิดชอบอยู่พอสมควร

    • Windows Defender แจ้งเตือน "Win32/Keygen" แม้ไม่มีมัลแวร์จริงก็ตาม
    • สิ่งนี้ฝึกให้ผู้ใช้ปิดแอนติไวรัส
    • false positive ทำให้คนเมินเฉยต่อ positive จริง และกลายเป็นการสร้างสภาพตลาดแบบนั้นขึ้นมา

  • มีคำถามว่าทำไมต้องลบคลังมัลแวร์

    • ตัว repository เองไม่ได้ก่ออันตรายและมีคุณค่าสำหรับงานวิจัย
    • ต่อให้ GitHub ลบออก ก็ยังถูกแจกจ่ายด้วยวิธีอื่นได้อยู่ดี
    • แบนเนอร์แบบ "ระวัง! repository นี้อาจไม่ได้ทำตามที่อ้างไว้" อาจเหมาะสมกว่า

  • เกร็ดน่าสนใจ: ถ้าเจอ Discord webhook ก็สามารถลบมันได้

    • ใช้คำสั่ง curl -X DELETE

  • ฝ่ายซัพพอร์ตของ Microsoft แย่อย่างน่าเศร้า

    • บน GitHub มี issue ที่เปิดค้างโดยไม่มีการตอบสนองมานานหลายปีเป็นจำนวนมาก
    • ฝ่ายซัพพอร์ตทางเทคนิคของ Azure ก็แย่มากเช่นกัน
    • มีเรื่องเล่าสยองขวัญออนไลน์มากมายเกี่ยวกับการสูญเสียสิทธิ์เข้าถึงบัญชีแล้วกู้คืนไม่ได้

  • แก่นของปัญหาคือแอปพลิเคชันไม่ได้ถูกแยกจากกันในระดับ OS

    • ต่อให้ติดตั้ง Minecraft mod ก็ไม่ควรเข้าถึงไฟล์อื่น ๆ ในคอมพิวเตอร์ได้
    • เมื่อเปิดสเปรดชีตใน Excel ก็ควรเข้าถึงได้แค่ไฟล์นั้นกับไฟล์การตั้งค่าเท่านั้น
    • เหมือน Android ที่แอปต้องร้องขอสิทธิ์เข้าถึงไฟล์อย่างชัดเจน

  • มีคำถามใหญ่เกี่ยวกับประสิทธิภาพของระบบรายงานการใช้งานในทางที่ผิดของ GitHub

    • ถ้า repository อันตรายมากกว่า 1,000 รายการอยู่รอดได้นานหลายเดือน ก็อาจหมายความว่าการสแกนอัตโนมัติยังไม่เพียงพอ หรือพึ่งพาการรายงานจากผู้ใช้มากเกินไป

  • มีคนมาขอความช่วยเหลือในการติดตั้ง Plants vs. Zombies mod

    • พบหลาย mod ที่ดาวน์โหลดได้จาก GitHub repository แต่ดูไม่น่าเชื่อถือจึงไม่ได้ดาวน์โหลด
    • ตอนนี้คิดดูแล้ว น่าจะเป็นมัลแวร์ประเภทที่ผู้เขียนอธิบายไว้

  • ถ้าพบมัลแวร์ใน GitHub repository สามารถรายงานได้โดยตรงผ่านหน้า Abuse Report

    • GitHub จะลบ repository ที่ละเมิด Acceptable Use Policy
    • ระยะเวลาในการตอบสนองอาจแตกต่างกันไป
    • ถ้ามัลแวร์กำลังถูกใช้งานอย่างจริงจัง อาจพิจารณาแจ้งองค์กรด้านความปลอดภัยหรือทีม CERT ได้