文章來源：
Lawrence Abrams, August 31 2024. GitHub comments abused to push password stealing malware masked as fixes.

⚾️ 新聞概述

駭客藉由GitHub的評論功能，佯裝提供修正軟體的建議，實質是散佈Lumma Stealer 資訊竊取惡意軟體。攻擊者藉由在開源專案中留下「看似正常的評論」(文章圖片)，引導開發者下載受密碼保護的檔案(文章圖片)，並執行檔案。一旦執行後，該軟體將竊取受害者的機敏性資訊，例如加密貨幣錢包、私鑰等等，用以未來的網路攻擊或販售相關資訊。

目前，GitHub已經開始著手處理此問題，並刪除相關評論。

◼️ 事件啟示

開發者在處理來自未經驗證來源的建議時，即使該來源來自合法平台，也必須對所散佈的內容及發佈者保持高度警惕，特別是在涉及下載和執行檔案的情況下。文章末也有提到另一個案例 - 攻擊者利用超過3000個GitHub假帳號，建立了一個散佈惡意軟體的平台。

◼️ 名詞學習

• 社交工程：藉由操縱心理，誘使人們採取特定行動或洩露敏感資訊
• Lumma Stealer：是一種先進的資訊竊取的工具，被執行時會嘗試從瀏覽器竊取憑證、密碼、cookies等等。

◼️ 其他文章

• Fortinet 詳細揭露駭客組織利用YouTube散播Lumma變種攻擊手法