Sebuah kampanye malware yang diam-diam sedang membajak dompet kripto dengan menyematkan kode berbahaya dalam proyek open-source palsu di Github, menipu pengembang agar menjalankan payload tersembunyi.
Peretas Menggunakan Github untuk Mencuri Crypto—Malware Tersembunyi dalam Sumber Terbuka
Artikel ini diterbitkan lebih dari setahun yang lalu. Beberapa informasi mungkin sudah tidak terkini.
DITULIS OLEH
BAGIKAN
Malware Diam-Diam di Github Membajak Dompet Kripto
Sebuah kampanye siber yang baru-baru ini terungkap yang dikenal sebagai Gitvenom telah menargetkan pengguna Github dengan menyematkan kode berbahaya dalam proyek open-source yang tampaknya sah. Peneliti Kaspersky Georgy Kucherin dan Joao Godinho mengidentifikasi operasi ini, yang melibatkan pelaku kejahatan siber membuat repositori palsu yang meniru alat perangkat lunak nyata.
Para peneliti menjelaskan:
Selama kampanye Gitvenom, pelaku ancaman di baliknya telah membuat ratusan repositori di Github yang berisi proyek palsu dengan kode berbahaya – misalnya, instrumen otomatisasi untuk berinteraksi dengan akun Instagram, bot Telegram yang memungkinkan mengelola dompet bitcoin, dan alat peretas untuk video game Valorant.
Para penyerang telah berupaya keras untuk membuat repositori ini tampak otentik, menggunakan file README.md yang dihasilkan AI, menambahkan banyak tag, dan secara artifisial menggelembungkan riwayat komit untuk meningkatkan kredibilitas.
Kode berbahaya disematkan dengan cara yang berbeda tergantung pada bahasa pemrograman yang digunakan dalam proyek palsu. Dalam repositori Python, penyerang menyembunyikan payload menggunakan baris panjang spasi kosong diikuti dengan perintah dekripsi skrip. Dalam proyek berbasis Javascript, mereka menyembunyikan malware dalam fungsi yang mendekode dan menjalankan skrip yang ter-encode Base64. Untuk proyek C, C++, dan C#, penyerang menempatkan skrip batch tersembunyi dalam file proyek Visual Studio, memastikan bahwa malware berjalan ketika proyek dibangun.
Setelah dijalankan, skrip ini mengunduh komponen tambahan berbahaya dari repositori Github yang dikendalikan penyerang. Ini termasuk pencuri berbasis Node.js yang mengekstrak kredensial, data dompet cryptocurrency, dan riwayat penelusuran sebelum mengirimnya ke penyerang melalui Telegram, serta alat akses jarak jauh open-source seperti AsyncRAT dan Quasar backdoor. Sebuah hijacker clipboard juga dikerahkan, mengganti alamat dompet cryptocurrency yang disalin dengan milik penyerang.
Kampanye Gitvenom telah aktif setidaknya selama dua tahun, dengan upaya infeksi terdeteksi di seluruh dunia, terutama di Rusia, Brasil, dan Turki. Peneliti Kaspersky menekankan risiko yang semakin meningkat dari repositori berbahaya, memperingatkan:
Karena platform berbagi kode seperti Github digunakan oleh jutaan pengembang di seluruh dunia, pelaku ancaman pasti akan terus menggunakan perangkat lunak palsu sebagai umpan infeksi.
“Untuk alasan itu, sangat penting untuk menangani pemrosesan kode pihak ketiga dengan sangat hati-hati. Sebelum mencoba menjalankan kode tersebut atau mengintegrasikannya ke dalam proyek yang ada, sangat penting untuk memeriksa dengan cermat tindakan apa yang dilakukannya,” mereka menekankan. Karena platform open-source terus dieksploitasi oleh penjahat siber, pengembang harus berhati-hati untuk mencegah lingkungan mereka dari dikompromikan.
