Lumma Infostealer -haittaohjelma hyödyntää GitHubia laajamittaisessa tietojenkalastelussa
CISA varoittaa Lumma Infostealer -haittaohjelmasta, joka on lisääntynyt merkittävästi ja käyttää sosiaalista manipulointia GitHubissa tunkeutuakseen järjestelmiin ja varastaakseen tietoja.

Kyberturvallisuus- ja infrastruktuurivirasto (CISA) on antanut varoituksen Lumma Infostealer -haittaohjelmasta, joka on osoittanut nopeaa kasvua alkuvuodesta 2025 lähtien. Haittaohjelma, jonka uskotaan olleen aktiivinen jo vuonna 2024, on toteuttanut laajamittaisia tietojenkeräyskampanjoita. Sen toimijat ovat hyödyntäneet luotettuja alustoja, kuten GitHubia, haitallisten ohjelmien levittämiseen ja edistyneitä tekniikoita tunkeutumisen välttämiseksi.
Lumma Stealer on tarjolla palveluna (Malware-as-a-Service, MaaS), mikä tekee siitä helposti saatavilla olevan kyberrikollisille. Haittaohjelma on ollut myynnissä pimeän verkon foorumeilla vuodesta 2022, ja sen käyttäjämäärä on kasvanut huomattavasti. Lumma Stealer sisältää useita kehittyneitä ominaisuuksia, kuten virtuaalikoneiden ja hiekkalaatikoiden tunnistuksen, salaustekniikoita, sekä "Living off the Land" -tekniikoiden hyödyntämistä järjestelmän omien työkalujen väärinkäyttöön.
Haittaohjelman ensisijainen motivaatio on taloudellinen. Se on suunniteltu varastamaan käyttäjien tunnuksia, pankkitietoja, kryptovaluuttalompakoita ja muuta henkilökohtaista tietoa. Kerättyjä tietoja voidaan myydä tai käyttää petoksiin. Lummaa käyttävät ryhmät vaikuttavat olevan taloudellisesti motivoituneita kyberrikollisryhmiä, eivät kansallisvaltioita.
Hyökkääjät ovat käyttäneet GitHubia saamaan pääsyn uhrien järjestelmiin sosiaalisen manipuloinnin kautta. Eräässä kampanjassa kehittäjiä on huijattu lataamaan "korjaustiedostoja" haavoittuvuuksiin, jotka ovatkin sisältäneet Lumma Stealerin. Toisissa tapauksissa on julkaistu tuhansia väärennettyjä kommentteja GitHub-projekteihin, jotka ovat ohjanneet käyttäjät lataamaan haittaohjelman ulkoisilta linkeiltä.