حملة برامج ضارة خفية تسيطر على محافظ العملات المشفرة عن طريق تضمين كود ضار في مشاريع مفتوحة المصدر مزيفة على Github، مما يخدع المطورين لتنفيذ حمولات مخفية.
المتسللون يستخدمون GitHub لسرقة العملات المشفرة—البرمجيات الخبيثة مخفية في المصدر المفتوح
نُشر هذا المقال قبل أكثر من عام. قد لا تكون بعض المعلومات حديثة.
بقلم
مشاركة
برامج ضارة خفية على Github تسيطر على محافظ العملات المشفرة
حملة سيبرانية تم اكتشافها مؤخرًا تُعرف باسم Gitvenom قد استهدفت مستخدمي Github عن طريق تضمين كود ضار ضمن مشاريع مفتوحة المصدر تبدو مشروعة. حدد الباحثان في كاسبرسكي جورجي كوتشيرين وجواو جودينيو العملية، التي تتضمن مجرمين سيبرانيين ينشئون مستودعات احتيالية تقوم بتقليد أدوات برمجية حقيقية.
أوضح الباحثون الوصف:
على مدار حملة Gitvenom، قام المهاجمون بإنشاء مئات المستودعات على Github التي تحتوي على مشاريع مزيفة مع كود ضار – مثل أداة أتمتة للتفاعل مع حسابات Instagram، وبوت Telegram يتيح إدارة محافظ البيتكوين، وأداة قرصنة للعبة الفيديو Valorant.
ذهب المهاجمون إلى أطوال كبيرة لجعل هذه المستودعات تبدو أصيلة، باستخدام ملفات README.md تم توليدها بالذكاء الاصطناعي، وإضافة العديد من العلامات، وتضخيم تواريخ الالتزام بشكل مصطنع لتعزيز المصداقية.
يتم تضمين الكود الضار بشكل مختلف اعتمادًا على لغة البرمجة المستخدمة في المشاريع المزيفة. في مستودعات Python، يقوم المهاجمون بإخفاء الحمولة باستخدام خطوط طويلة من المسافات تتبعها أمر فك تشفير السكريبت. في مشاريع Javascript، يخفون البرامج الضارة داخل دالة تقوم بفك التشفير وتنفيذ سكريبت مشفر بـ Base64. بالنسبة لمشاريع C وC++ وC#، يقوم المهاجمون بوضع برامج دفعية مخفية في ملفات مشاريع Visual Studio، لضمان تشغيل البرامج الضارة عند بناء المشروع.
بمجرد التنفيذ، تقوم هذه السكريبتات بتنزيل مكونات ضارة إضافية من مستودع Github يسيطر عليه المهاجم. تشمل هذه المكونات أداة سرقة معتمدة على Node.js تستخرج البيانات الاعتمادية، وبيانات محافظ العملات المشفرة، وسجل التصفح قبل إرسالها للمهاجمين عبر Telegram، بالإضافة إلى أدوات وصول عن بعد مفتوحة المصدر مثل AsyncRAT وQuasar backdoor. تم نشر أداة اختطاف الحافظة أيضًا، لتغيير عناوين محافظ العملات المشفرة المنسوخة بعناوين يسيطر عليها المهاجمون.
كانت حملة Gitvenom نشطة لمدة لا تقل عن عامين، مع محاولات إصابة تم اكتشافها عالميًا، خاصة في روسيا والبرازيل وتركيا. شدد باحثو كاسبرسكي على المخاطر المتزايدة للمستودعات الضارة، محذرين:
نظرًا لاستخدام منصات مشاركة الكود مثل Github من قبل ملايين المطورين حول العالم، فإن المهاجمين بالتأكيد سيستمرون في استخدام البرامج المزيفة كتحفيز للإصابة.
“لهذا السبب، من المهم التعامل بعناية مع معالجة الكود التابع للغير. قبل محاولة تشغيل مثل هذا الكود أو دمجه في مشروع موجود، من الضروري التحقق بشكل جيد من الأفعال التي يقوم بها”، حذروا. مع استمرار استغلال منصات المصدر المفتوح من قبل المجرمين السيبرانيين، يجب على المطورين توخي الحذر لمنع بيئاتهم من التعرض للاختراق.
