Lumma Stealer – это один из наиболее активно распространяемых видов вредоносного программного обеспечения, предназначенного для скрытного сбора конфиденциальной информации с зараженных устройств.
Данный софт впервые появился в 2022 году и быстро обрел популярность в хакерских кругах благодаря высокой эффективности, гибкости и возможности интеграции в различные каналы доставки.
Что такое Lumma Stealer
Основная функция Lumma Stealer – хищение пользовательских данных. После установки на компьютер жертвы, вредоносное ПО:
- извлекает сохраненные пароли из браузеров и менеджеров паролей;
- копирует cookies файлы, которые используются для автоматической авторизации;
- похищает данные криптокошельков, таких как Metamask, Exodus и других;
- собирает содержимое рабочих и личных документов;
- получает доступ к истории браузера и текущим сессиям
Одной из ключевых особенностей, отличающих Lumma Stealer Github от аналогов, является его технологическая основа. Программа написана на языке C, что делает ее легкой, быстрой и трудной для обнаружения традиционными антивирусами. Кроме того, вредоносное ПО использует встроенное шифрование для защиты передаваемой информации и активно применяет методы обхода систем защиты, включая анти-отладку, проверку виртуальной среды и использование легитимных компонентов системы для маскировки собственной активности.
С развитием схем распространения, таких как GitHub и облачные сервисы, Lumma Stealer стал еще опаснее. Далее мы подробно рассмотрим, как именно злоумышленники используют GitHub как платформу для доставки вредоносного ПО.
Схема атаки через GitHub
GitHub – крупнейшая платформа для хранения и совместной разработки кода. Сегодня она все чаще используется злоумышленниками в качестве инструмента доставки вредоносного программного обеспечения, и Lumma Stealer здесь не исключение. Атака устроена хитро и многослойно – злоумышленники задействуют как технические, так и социальные методы воздействия.
Рассмотрим ключевые этапы схемы:
1. Массовая публикация вредоносных комментариев
Хакеры автоматизировали процесс публикации вредоносных сообщений в популярных репозиториях на GitHub. Они размещают комментарии к коммитам, issue или pull request’ам, прикрепляя ссылки на якобы полезные скрипты, обновления или эксплойты.
На деле же за этими ссылками скрываются вредоносные сборки Lumma Stealer, которые загружаются с внешних ресурсов или маскируются под исходный код на GitHub Pages или в разделе Releases.
Эти комментарии часто создаются ботами, и охватывают сотни репозиториев за короткий промежуток времени, увеличивая вероятность, что кто-то перейдет по ссылке и скачает вредонос.
2. Использование инфраструктуры GitHub Releases
GitHub Releases – официальный механизм хранения и распространения бинарных файлов, таких как сборки ПО. Этим активно пользуются хакеры. Они загружают исполнительные файлы под видом обновлений известных библиотек или инструментов. Названия тщательно копируются с официальных проектов, что сбивает с толку даже опытных пользователей.
Такой подход позволяет вредоносному ПО выглядеть максимально правдоподобно и даже обходить некоторые фильтры безопасности, ведь оно загружается с проверенного и широко используемого ресурса. Именно так Lumma Stealer может попасть на устройство жертвы.
3. Фишинговые письма с уведомлениями о «уязвимостях»
Еще одна часть схемы – социальная инженерия. Жертвам приходят фишинговые сообщения, якобы от имени GitHub или разработчиков библиотек. В письме сообщается об обнаруженной критической уязвимости в используемой библиотеке и настоятельно рекомендуется перейти по ссылке и установить «исправление». Такая ссылка ведет либо на поддельный сайт, внешне идентичен GitHub, либо напрямую на зараженный релиз в репозитории.
Данная комбинация технической инфраструктуры и социальной инженерии делает Lumma Stealer особенно опасной. Пользователь сам устанавливает зараженный файл, считая его обновлением или официальным инструментом, а антивирусы, видя легитимный источник, могут не распознать угрозу.
Механизмы заражения и действия вредоносного ПО
Заражение начинается сразу после того, как пользователь скачал и запустил файл. Для этого используются следующие техники:
- Отключение системной защиты. Lumma пытается отключить встроенные механизмы защиты Windows, такие как SmartScreen и антивирусы, а также обходит контроль учетных записей (UAC).
- Загрузка модулей в память. Многие модули загружаются без записи на диск (fileless), что усложняет их обнаружение.
- Шифрование строк и поведения. Код использует шифрование данных в памяти, скрывая свои действия от систем анализа поведения.
Меры предосторожности и рекомендации
Исходя из определенного рода деятельности пользователя, существуют следующие способы, как защититься от опасного воздействия данного вредоносного программного обеспечения.
Поскольку Lumma Stealer активно использует доверенные ресурсы и механизмы, разработчикам стоит уделить особое внимание защите цепочек поставок:
- проводите регулярный аудит зависимостей;
- проверяйте коммиты и pull request’ы;
- используйте минимально необходимые права доступа;
- следите за комментариями к репозиториям и Releases.
Если вы не являетесь разработчиком, но используете GitHub и сторонние инструменты, соблюдайте следующие правила:
- загружайте софт только с официальных источников;
- не переходите по подозрительным ссылкам в письмах и комментариях;
- используйте антивирус с функцией поведенческого анализа;
При малейшем подозрении на заражение следует немедленно удалить Lumma Stealer с помощью специализированных средств.
Где безопасно размещать проекты и инструменты
Для защиты инфраструктуры и безопасного хранения проектов важно выбрать надёжного хостинг-провайдера. Например, PSB.Hosting предлагает удобную и безопасную среду для работы с DevOps, CI/CD и Docker.
Преимущества PSB.Hosting:
- Стабильные VPS с высокой производительностью и SSD/NVMe-дисками
- Поддержка популярных DevOps-инструментов и дистрибутивов Linux
- Мгновенное развёртывание, поддержка Docker и Kubernetes
- Анти-DDoS защита и круглосуточная техническая поддержка
Если вы работаете с GitHub, CI/CD и хотите защитить свою инфраструктуру от подобных угроз — выберите платформу, где безопасность и производительность идут рука об руку.
Главное
Lumma Stealer – продвинутый похититель информации, опасный своей скрытностью и разнообразием техник доставки. Его активное распространение через GitHub требует как от разработчиков, так и пользователей максимальной осведомленности и цифровой бдительности. Только своевременные меры защиты, а также осторожность при работе с кодом и внешними источниками помогут минимизировать риск утечки данных.