קמפיין זדוני שמתנהל בסתר חוטף ארנקי קריפטו על ידי שילוב קוד זדוני בפרויקטים מזויפים בקוד פתוח ב-Github, תוך שהוא מטעה מפתחים להפעיל מטענים נסתרים.
האקרים משתמשים ב-Github כדי לגנוב קריפטו—נוזקה מוסתרת בקוד פתוח
מאמר זה פורסם לפני יותר משנה. חלק מהמידע עשוי לא להיות עדכני.
נכתב ע"י
שתף
תוכנה זדונית על Github חוטפת ארנקי קריפטו
קמפיין סייבר שזוהה לאחרונה, הידוע בשם Gitvenom, מכוון למשתמשי Github על ידי שילוב קוד זדוני בתוך פרויקטים מזויפים שכביכול לגיטימיים בקוד פתוח. חוקרי קספרסקי גאורגי קוצרין וז’ואאו גודיניו זיהו את המבצע, שבו פושעי סייבר יוצרים מאגרים מזויפים המדמים כלי תוכנה אמיתיים.
החוקרים תיארו:
במהלך קמפיין Gitvenom, הגורמים האחראים יצרו מאות מאגרים ב-Github המכילים פרויקטים מזויפים עם קוד זדוני – לדוגמה, כלי אוטומציה לאינטראקציה עם חשבונות Instagram, בוט ב-Telegram המאפשר לנהל ארנקי ביטקוין, וכלי פריצה למשחק המחשב Valorant.
התוקפים השקיעו משאבים רבים לשוות למאגרים אלה אמינות, תוך שימוש בקבצי README.md שנוצרו על ידי AI, הוספת מספר תגיות והגדלת היסטוריות התחייבות בצורה מלאכותית להגברת האמינות.
הקוד הזדוני משולב בצורה שונה בהתאם לשפת התכנות בה נעשה שימוש בפרויקטים המזויפים. במאגרים של Python, התוקפים מסתירים את המטען בעזרת שורות רווח ארוכות ואחריהן פקודת פענוח של סקריפט. בפרויקטים מבוססי Javascript, הם מסתירים את התוכנה הזדונית בתוך פונקציה שמפענחת ומבצעת סקריפט מקודד ב-Base64. עבור פרויקטים ב-C, C++ ו-C#, התוקפים ממקמים סקריפט באצ’ מוסתר בקבצי פרויקטים של Visual Studio, מה שמבטיח שהתוכנה הזדונית תפעל כאשר הפרויקט נבנה.
ברגע שהסקריפטים מופעלים, הם מורידים רכיבים זדוניים נוספים ממאגר Github שבשליטת התוקף. אלה כוללים גנב מבוסס Node.js שמוציא אישורי גישה, נתוני ארנק קריפטו והיסטוריית גלישה לפני שליחתם לתוקפים דרך Telegram, כמו גם כלי גישה מרחוק בקוד פתוח כמו AsyncRAT ו-Quasar backdoor. הוטמע גם גונב ללוח התקליטים, שמחליף כתובות ארנקי קריפטו מועתקות באלה שבשליטת התוקף.
קמפיין Gitvenom היה פעיל לפחות שנתיים, עם ניסיונות הדבקה שהתגלו ברחבי העולם, במיוחד ברוסיה, ברזיל וטורקיה. חוקרי קספרסקי הדגישו את הסיכונים הגוברים של מאגרים זדוניים, והזהירו:
מכיוון שגרסאות קוד פתוח כמו Github משמשות מיליוני מפתחים ברחבי העולם, גורמי איום ימשיכו להשתמש בתוכנה מזויפת כפיתיון להדבקה.
“מסיבה זו, חיוני לטפל בעיבוד קוד של צד שלישי בזהירות רבה. לפני שמנסים להפעיל קוד כזה או לשלב אותו בפרויקט קיים, חשוב לבדוק היטב אילו פעולות הוא מבצע,” הם הזהירו. ככל שפלטפורמות קוד פתוח ממשיכות להיות מנוצלות על ידי פושעי סייבר, על המפתחים לנהוג בזהירות כדי למנוע את הפגיעה בסביבתם.
