Investigasi scam GitHub: ribuan 'mod' dan 'crack' yang mencuri data Anda

 (timsh.org)
1 poin oleh GN⁺ 2025-03-01 | 1 komentar | Bagikan ke WhatsApp
  • Ada banyak repositori di GitHub yang menyamar sebagai "mods" atau "cracks", padahal sebenarnya merupakan scam yang mencuri informasi sensitif dari komputer pengguna saat diunduh
  • Repositori ini dipromosikan seolah-olah sebagai "unduhan gratis" atau "versi crack" dengan memakai nama program dan game populer seperti Roblox, Fortnite, FL Studio, dan Adobe Photoshop
  • Saat file berbahaya ini dijalankan, malware pencuri informasi seperti Redox Stealer akan aktif
  • Informasi yang dicuri dikirim ke server Discord atau situs berbagi seperti Anonfiles, lalu digunakan untuk mencuri dompet kripto, akun media sosial, dan lainnya
  • Repositori seperti ini juga mudah ditemukan lewat pencarian GitHub, dan skala nyatanya diperkirakan setidaknya lebih dari seribu
  • Ada juga kasus ketika issue publik di GitHub memperingatkan bahwa repositori tersebut adalah "virus" atau "malware", tetapi hanya sekitar 10% dari keseluruhan yang mendapat peringatan, sehingga banyak pengguna tetap terekspos pada risiko

TL;DR

  • Proses penemuan
    • Penulis menemukan panduan rinci di forum bertema social engineering yang menjelaskan cara menyebarkan repositori berbahaya dalam jumlah besar di GitHub
    • Berdasarkan panduan itu, penulis juga melacak repositori yang benar-benar dibuat oleh para penyerang
  • Skala
    • Ditemukan lebih dari 1.115 repositori, dan di antaranya setidaknya 351 memiliki struktur mencurigakan dengan kemungkinan besar bersifat berbahaya
    • Kurang dari 10% repositori mendapat peringatan melalui issue, sementara sebagian besar tampak seolah normal
  • Ciri malware
    • Diduga termasuk keluarga Redox Stealer, yang mencuri berbagai informasi sensitif seperti cookie, kata sandi, dompet kripto, dan akun game dari komputer korban melalui webhook Discord
    • Data dikirim dalam bentuk file arsip lewat situs berbagi (misalnya Anonfiles), lalu tautan lanjutan dikirim lewat webhook untuk dianalisis dan diperjualbelikan

Latar belakang

  • Promosi bot Telegram
    • Penulis menemukan promosi terkait forum ini dari pesan bot analitik TikTok yang pernah digunakan sebelumnya
    • Forum tersebut memungkinkan pendaftaran hanya dengan email dan kata sandi, tanpa undangan khusus atau akses Tor, lalu pengguna bisa melihat transaksi ilegal maupun panduan
  • Karakteristik forum
    • Forum ini bebas membagikan materi mulai dari jual beli akun (misalnya TikTok, Instagram, Facebook Ads) hingga materi tentang program "affiliate" untuk penipuan
    • Sudah ada banyak scam terkenal seperti ransomware as a service (RaaS) dan CryptoGrab, tetapi panduan penyebaran malware lewat GitHub tergolong baru dan mengejutkan
  • Redox Stealer
    • Malware ini beredar lewat Telegram dan kanal lain, serta berupa skrip Python yang relatif sederhana
    • Strukturnya mengumpulkan hampir semua informasi sensitif yang dapat ditemukan di PC lalu mengirimkannya ke server Discord

Cara membanjiri GitHub dengan [traffic] dari A sampai Z

  • Mengumpulkan banyak akun GitHub
    • Akun dibeli seharga sekitar 1,5 dolar atau dibuat sendiri dalam jumlah banyak untuk dipakai dalam serangan
  • Cara mengunggah file berbahaya
    • File dikemas sebagai .zip, .rar, dan sejenisnya lalu diunggah ke GitHub, atau README dipasangi tautan berbagi eksternal untuk menghindari pemeriksaan virus
  • Template README
    • Disusun agar tampak meyakinkan dengan menyertakan screenshot asli, video, dan hasil pemeriksaan virustotal (palsu)
    • Teks README sedikit diubah menggunakan ChatGPT dan sejenisnya untuk menghindari deteksi duplikasi
  • Pemanfaatan tag Topics
    • Fitur GitHub topic dipakai untuk berulang kali mendaftarkan kata kunci seperti nama game, crack, hack, cheat, dan sebagainya
    • Tujuannya agar mudah muncul bagi orang yang mencari "crack gratis" dan sejenisnya di mesin pencari
    • Panduan itu juga menjelaskan cara menghindari topic yang diblokir dengan memeriksa apakah termasuk banned topic

Analisis Redox Stealer

  • Proses eksekusi file
    • Saat pengguna mengunduh repositori dan menjalankan skrip berbahaya, proses pengumpulan informasi di dalam PC langsung dimulai
    • Target pencurian meliputi ip, geolocation, nama pengguna, cookie browser, kata sandi, akun Discord, Telegram, Steam, Riot Games, serta file dompet kripto dalam jumlah besar
  • Metode pengumpulan
    • Malware menyalin sementara file database sqlite untuk mengekstrak cookie browser, kata sandi, token Discord, dan lainnya
    • File ekstensi kripto seperti Metamask dan Exodus, serta file informasi akun game seperti Steam dan Riot Games, dikompresi terpisah lalu diunggah
  • Pengiriman data
    • File yang dicuri diunggah ke layanan berbagi seperti Anonfiles, lalu tautan atau informasinya dikirim ke penyerang melalui webhook Discord
    • Tujuan akhirnya adalah mengambil akun bernilai jual (misalnya kripto, item game) atau informasi keuangan (kartu kredit, PayPal, dan lain-lain)

Pencarian dan penemuan di GitHub

  • Perkiraan skala
    • Panduan itu menyebut satu orang saja bisa mengunggah 300-500 repositori dan menghasilkan lebih dari 50-100 log korban per hari
    • Dalam praktiknya, kemungkinan ada banyak orang yang menjalankan skema ini secara bersamaan, sehingga jumlah repositori berbahaya kemungkinan jauh lebih besar
  • Skrip PoC (Proof of Concept)
    • Penulis menggabungkan kata kunci dari panduan tersebut (misalnya "fortnite hack", "roblox cheat", dan lain-lain) lalu memakai GitHub Search API untuk merayapi repositori secara otomatis
    • Saat diperiksa dengan sekitar 2.100 kata kunci topic, ditemukan 1.155 repositori
    • Dari jumlah itu, 351 dinilai sangat mungkin berbahaya berdasarkan README serta struktur file .rar/.zip
  • Masalah utama
    • Hanya kurang dari 10% repositori yang memiliki issue bertuliskan "ini berbahaya", sehingga fungsi peringatan untuk pengguna masih kurang
    • Banyak pengguna berisiko mengira repositori tersebut adalah program normal lalu menjalankannya

Conclusion

  • Informasi ilegal di internet
    • Ada forum yang mudah diakses dari web biasa tanpa Tor atau undangan khusus
    • Beragam scam seperti ransomware dan crypto drainer dibagikan secara aktif
  • Kesederhanaan Redox Stealer
    • Hanya dengan ratusan hingga ribuan baris kode Python, malware ini bisa mengumpulkan informasi secara luas dan mengirimkannya otomatis ke penyerang
    • Tingkat kesulitan teknisnya tidak terlalu tinggi, sehingga mudah disebarkan secara massal
  • Perlunya respons dari GitHub
    • Bahkan repositori yang sudah diketahui berbahaya lewat issue publik pun sering dibiarkan begitu saja
    • Diperlukan pemantauan dan pemblokiran yang lebih aktif dari GitHub untuk mengurangi kerugian
  • Penutup
    • Saat hendak mengunduh crack game atau program, pengguna perlu benar-benar memeriksa apakah sumbernya open source dan apakah ada pemeriksaan virus
    • Penulis juga memberi isyarat akan ada analisis lanjutan tentang scam/iklan penipuan lainnya

Ringkasan

  • Distribusi malware lewat GitHub sedang berlangsung: kebanyakan memakai nama seperti "gratis", "crack", dan "mod", tetapi sebenarnya berisi Redox Stealer
    • Redox Stealer mudah dan sederhana sehingga siapa pun bisa menyebarkannya dalam jumlah besar
  • Target korban utama: dompet kripto, akun Steam/Riot Games, PayPal, Facebook, Twitter, dan berbagai informasi akun lainnya
  • Langkah pencegahan
    • Unduh hanya dari sumber tepercaya
    • Periksa dengan cermat tautan atau README yang mencurigakan
    • Cek GitHub Issues, rating, atau ulasan dari pengguna lain
    • Pertahankan antivirus dan patch keamanan terbaru
  • Penyebaran scam berbasis forum
    • Dengan hambatan masuk yang rendah, siapa pun bisa mendapatkan panduan lalu menyebarkan skrip berbahaya
    • Satu penyerang dapat membeli banyak akun dan mengunggah ratusan repositori untuk memperluas penyebaran
  • Tanggung jawab GitHub dan komunitas keamanan
    • Perlu penguatan sistem identifikasi dan pemblokiran repositori berbahaya
    • Peningkatan kewaspadaan pengguna umum juga sangat penting
  • Repositori GitHub yang mengklaim menyediakan "crack" atau "mod" gratis harus selalu dicurigai
  • Spreadsheet (lihat tautan) berisi daftar lebih dari 1.000 repositori mencurigakan yang dikumpulkan penulis
  • Semua malware ini terhubung ke satu tujuan, yaitu keuntungan finansial, dengan ciri penyebaran yang cepat dan berskala besar

Bacaan terkait

1 komentar

 
GN⁺ 2025-03-01
Komentar Hacker News

  • Microsoft memiliki masalah umum dalam menyingkirkan hal-hal yang tidak perlu di ekosistem mereka

    • Portal feedback.azure.com dipenuhi komentar dan tautan spam serta malware
    • Bahkan tim internal pun tidak bisa menemukan orang yang dapat menyelesaikan ini

  • Sistem yang baru dikompromikan memberi notifikasi melalui webhook Discord

    • Discord cepat merespons laporan penyalahgunaan
    • Dengan menulis skrip sederhana untuk mengekstrak tautan webhook, seharusnya akun bisa diblokir
    • Dari pengalaman sebelumnya, Discord cukup aktif memblokir akun orang-orang yang terlibat untuk tujuan ilegal

  • Microsoft memiliki tanggung jawab sampai batas tertentu

    • Windows Defender memunculkan peringatan "Win32/Keygen" bahkan saat tidak ada malware sungguhan
    • Ini melatih pengguna untuk mematikan antivirus
    • False positive membuat orang mengabaikan true positive, sehingga membentuk pasar seperti ini

  • Pertanyaan tentang alasan mengapa repositori malware harus dihapus

    • Repositori itu sendiri tidak menyebabkan bahaya dan bernilai untuk riset
    • Meski GitHub menghapusnya, distribusi akan tetap terjadi lewat cara lain
    • Banner seperti "Perhatian! Repositori ini mungkin tidak melakukan apa yang diklaim" bisa jadi lebih tepat

  • Fakta menarik: jika menemukan webhook Discord, Anda bisa menghapusnya

    • Gunakan perintah curl -X DELETE

  • Dukungan Microsoft sangat buruk, sampai tragis

    • Di GitHub ada sangat banyak issue terbuka yang tidak mendapat respons selama bertahun-tahun
    • Dukungan teknis Azure juga sangat buruk
    • Banyak kisah horor online tentang kehilangan akses akun dan tidak bisa memulihkannya

  • Inti masalahnya adalah aplikasi tidak diisolasi pada level OS

    • Saat memasang mod Minecraft, seharusnya itu tidak bisa mengakses file lain di komputer Anda
    • Saat membuka spreadsheet di Excel, seharusnya hanya file tersebut dan file konfigurasi yang bisa diakses
    • Seperti Android, aplikasi seharusnya harus secara eksplisit meminta akses file

  • Pertanyaan besar tentang efektivitas sistem pelaporan penyalahgunaan GitHub

    • Jika lebih dari 1.000 repositori berbahaya bisa bertahan selama berbulan-bulan, mungkin pemindaian otomatisnya kurang memadai atau terlalu bergantung pada laporan pengguna

  • Diminta bantuan untuk memasang mod Plants vs. Zombies

    • Menemukan beberapa mod yang bisa diunduh dari repositori GitHub, tetapi tidak mengunduhnya karena tidak tepercaya
    • Sekarang dipikir-pikir, tampaknya itu jenis malware yang dijelaskan penulis

  • Jika menemukan malware di repositori GitHub, Anda bisa langsung melaporkannya melalui halaman Abuse Report

    • GitHub menghapus repositori yang melanggar Acceptable Use Policy
    • Waktu respons bisa berbeda-beda
    • Jika malware sedang aktif digunakan, bisa dipertimbangkan untuk melapor ke organisasi keamanan atau tim CERT