En skjult malware-kampagne kaprer kryptovaluta-tegnebøger ved at indlejre skadelig kode i falske open source-projekter på Github, der narrer udviklere til at udføre skjulte belastninger.
Hackere Bruger Github til at Stjæle Krypto—Malware Skjult i Open Source
Denne artikel blev publiceret for mere end et år siden. Nogle oplysninger er muligvis ikke aktuelle.
SKREVET AF
DEL
Skjult Malware på Github Kaprer Kryptovaluta-Tegnebøger
En nyligt afsløret cyber-kampagne kendt som Gitvenom har målrettet Github-brugere ved at indlejre skadelig kode i tilsyneladende legitime open source-projekter. Kaspersky-forskerne Georgy Kucherin og Joao Godinho identificerede operationen, som involverer cyberkriminelle, der opretter falske depoter, der efterligner ægte softwareværktøjer.
Forskerne beskrev:
Under Gitvenom-kampagnen har de trusselsaktører bag den oprettet hundreder af depoter på Github, der indeholder falske projekter med skadelig kode – for eksempel et automatiseringsværktøj til interaktion med Instagram-konti, en Telegram-bot, der tillader styring af bitcoin-tegnebøger, og et hackingværktøj til videospillet Valorant.
Angriberne har gjort meget for at få disse depoter til at fremstå autentiske ved at bruge AI-genererede README.md-filer, tilføje flere tags, og kunstigt oppuste commit-historier for at øge troværdigheden.
Den skadelige kode indlejres forskelligt afhængigt af det programmeringssprog, der anvendes i de falske projekter. I Python-repositoryer skjuler angriberne belastningen ved hjælp af lange linjer af mellemrum efterfulgt af en script-dekrypteringskommando. I Javascript-baserede projekter gemmer de malwaren inden i en funktion, der dekoder og udfører et Base64-kodet script. For C, C++ og C#-projekter placerer angriberne et skjult batch-script i Visual Studio-projektfiler, der sikrer, at malwaren køres, når projektet bygges.
Når de er udført, downloader disse scripts yderligere skadelige komponenter fra et angriberkontrolleret Github-depot. Disse inkluderer en Node.js-baseret stealer, der udtrækker legitimationsoplysninger, kryptovaluta-tegneboksdata og browserhistorik, før den sender dem til angriberne via Telegram, såvel som open source-fjernadgangsværktøjer som AsyncRAT og Quasar backdoor. En udklipshijacker blev også implementeret, der erstatter kopierede kryptovaluta-tegneboksadresser med angriberkontrollerede.
Gitvenom-kampagnen har været aktiv i mindst to år, med infektionforsøg opdaget på verdensplan, især i Rusland, Brasilien og Tyrkiet. Kaspersky-forskere understregede de voksende risici ved skadelige depoter og advarede:
Da kode-deling platforme som Github bruges af millioner af udviklere verden over, vil trusselsaktører helt sikkert fortsætte med at bruge falsk software som en infektionslokkemad.
“For den grund er det afgørende at håndtere behandling af tredjepartskode meget omhyggeligt. Før man forsøger at køre sådan kode eller integrere den i et eksisterende projekt, er det altafgørende grundigt at kontrollere, hvilke handlinger det udfører,” advarede de. Da open source-platforme fortsat udnyttes af cyberkriminelle, må udviklere udvise forsigtighed for at forhindre, at deres miljøer kompromitteres.
