logo
language
Русскийdropdown

Как злоумышленники распространяют Lumma Stealer через GitHub: схема атаки и меры предосторожности

Как злоумышленники распространяют Lumma Stealer через GitHub: схема атаки и меры предосторожности
13 мая 2025 г.

Lumma Stealer – это один из наиболее активно распространяемых видов вредоносного программного обеспечения, предназначенного для скрытного сбора конфиденциальной информации с зараженных устройств.

Данный софт впервые появился в 2022 году и быстро обрел популярность в хакерских кругах благодаря высокой эффективности, гибкости и возможности интеграции в различные каналы доставки.

Что такое Lumma Stealer

Основная функция Lumma Stealer – хищение пользовательских данных. После установки на компьютер жертвы, вредоносное ПО:

  • извлекает сохраненные пароли из браузеров и менеджеров паролей;
  • копирует cookies файлы, которые используются для автоматической авторизации;
  • похищает данные криптокошельков, таких как Metamask, Exodus и других;
  • собирает содержимое рабочих и личных документов;
  • получает доступ к истории браузера и текущим сессиям

Одной из ключевых особенностей, отличающих Lumma Stealer Github от аналогов, является его технологическая основа. Программа написана на языке C, что делает ее легкой, быстрой и трудной для обнаружения традиционными антивирусами. Кроме того, вредоносное ПО использует встроенное шифрование для защиты передаваемой информации и активно применяет методы обхода систем защиты, включая анти-отладку, проверку виртуальной среды и использование легитимных компонентов системы для маскировки собственной активности.

С развитием схем распространения, таких как GitHub и облачные сервисы, Lumma Stealer стал еще опаснее. Далее мы подробно рассмотрим, как именно злоумышленники используют GitHub как платформу для доставки вредоносного ПО.

Схема атаки через GitHub

GitHub – крупнейшая платформа для хранения и совместной разработки кода. Сегодня она все чаще используется злоумышленниками в качестве инструмента доставки вредоносного программного обеспечения, и Lumma Stealer здесь не исключение. Атака устроена хитро и многослойно – злоумышленники задействуют как технические, так и социальные методы воздействия.

Рассмотрим ключевые этапы схемы:

1. Массовая публикация вредоносных комментариев

Хакеры автоматизировали процесс публикации вредоносных сообщений в популярных репозиториях на GitHub. Они размещают комментарии к коммитам, issue или pull request’ам, прикрепляя ссылки на якобы полезные скрипты, обновления или эксплойты.

На деле же за этими ссылками скрываются вредоносные сборки Lumma Stealer, которые загружаются с внешних ресурсов или маскируются под исходный код на GitHub Pages или в разделе Releases.

Эти комментарии часто создаются ботами, и охватывают сотни репозиториев за короткий промежуток времени, увеличивая вероятность, что кто-то перейдет по ссылке и скачает вредонос.

2. Использование инфраструктуры GitHub Releases

GitHub Releases – официальный механизм хранения и распространения бинарных файлов, таких как сборки ПО. Этим активно пользуются хакеры. Они загружают исполнительные файлы под видом обновлений известных библиотек или инструментов. Названия тщательно копируются с официальных проектов, что сбивает с толку даже опытных пользователей.

Такой подход позволяет вредоносному ПО выглядеть максимально правдоподобно и даже обходить некоторые фильтры безопасности, ведь оно загружается с проверенного и широко используемого ресурса. Именно так Lumma Stealer может попасть на устройство жертвы.

3. Фишинговые письма с уведомлениями о «уязвимостях»

Еще одна часть схемы – социальная инженерия. Жертвам приходят фишинговые сообщения, якобы от имени GitHub или разработчиков библиотек. В письме сообщается об обнаруженной критической уязвимости в используемой библиотеке и настоятельно рекомендуется перейти по ссылке и установить «исправление». Такая ссылка ведет либо на поддельный сайт, внешне идентичен GitHub, либо напрямую на зараженный релиз в репозитории.

Данная комбинация технической инфраструктуры и социальной инженерии делает Lumma Stealer особенно опасной. Пользователь сам устанавливает зараженный файл, считая его обновлением или официальным инструментом, а антивирусы, видя легитимный источник, могут не распознать угрозу.

Механизмы заражения и действия вредоносного ПО

Заражение начинается сразу после того, как пользователь скачал и запустил файл. Для этого используются следующие техники:

  1. Отключение системной защиты. Lumma пытается отключить встроенные механизмы защиты Windows, такие как SmartScreen и антивирусы, а также обходит контроль учетных записей (UAC).
  2. Загрузка модулей в память. Многие модули загружаются без записи на диск (fileless), что усложняет их обнаружение.
  3. Шифрование строк и поведения. Код использует шифрование данных в памяти, скрывая свои действия от систем анализа поведения.

Меры предосторожности и рекомендации

Исходя из определенного рода деятельности пользователя, существуют следующие способы, как защититься от опасного воздействия данного вредоносного программного обеспечения.

Поскольку Lumma Stealer активно использует доверенные ресурсы и механизмы, разработчикам стоит уделить особое внимание защите цепочек поставок:

  • проводите регулярный аудит зависимостей;
  • проверяйте коммиты и pull request’ы;
  • используйте минимально необходимые права доступа;
  • следите за комментариями к репозиториям и Releases.

Если вы не являетесь разработчиком, но используете GitHub и сторонние инструменты, соблюдайте следующие правила:

  • загружайте софт только с официальных источников;
  • не переходите по подозрительным ссылкам в письмах и комментариях;
  • используйте антивирус с функцией поведенческого анализа;

При малейшем подозрении на заражение следует немедленно удалить Lumma Stealer с помощью специализированных средств.

Где безопасно размещать проекты и инструменты

Для защиты инфраструктуры и безопасного хранения проектов важно выбрать надёжного хостинг-провайдера. Например, PSB.Hosting предлагает удобную и безопасную среду для работы с DevOps, CI/CD и Docker.

Преимущества PSB.Hosting:

  • Стабильные VPS с высокой производительностью и SSD/NVMe-дисками
  • Поддержка популярных DevOps-инструментов и дистрибутивов Linux
  • Мгновенное развёртывание, поддержка Docker и Kubernetes
  • Анти-DDoS защита и круглосуточная техническая поддержка

Если вы работаете с GitHub, CI/CD и хотите защитить свою инфраструктуру от подобных угроз — выберите платформу, где безопасность и производительность идут рука об руку.

Главное

Lumma Stealer – продвинутый похититель информации, опасный своей скрытностью и разнообразием техник доставки. Его активное распространение через GitHub требует как от разработчиков, так и пользователей максимальной осведомленности и цифровой бдительности. Только своевременные меры защиты, а также осторожность при работе с кодом и внешними источниками помогут минимизировать риск утечки данных.