Una campagna di malware furtiva sta dirottando portafogli crypto incorporando codice dannoso in progetti open-source falsi su Github, ingannando gli sviluppatori a eseguire payload nascosti.
Hacker utilizzano Github per rubare criptovalute—Malware nascosto nell'open source
Questo articolo è stato pubblicato più di un anno fa. Alcune informazioni potrebbero non essere più attuali.
SCRITTO DA
CONDIVIDI
Malware Furtivo su Github Sta Dirottando Portafogli Crypto
Una campagna informatica recentemente scoperta, nota come Gitvenom, ha preso di mira gli utenti di Github incorporando codice dannoso all’interno di progetti open-source apparentemente legittimi. I ricercatori di Kaspersky Georgy Kucherin e Joao Godinho hanno identificato l’operazione, che coinvolge cybercriminali nella creazione di repository fraudolenti che imitano veri strumenti software.
I ricercatori hanno descritto:
Nel corso della campagna Gitvenom, gli attori dietro di essa hanno creato centinaia di repository su Github che contengono progetti falsi con codice dannoso – per esempio, uno strumento di automazione per interagire con gli account Instagram, un bot di Telegram che consente di gestire portafogli bitcoin e uno strumento di hacking per il videogioco Valorant.
Gli attaccanti hanno fatto di tutto per rendere questi repository autentici, utilizzando file README.md generati dall’AI, aggiungendo più tag e gonfiando artificialmente la cronologia dei commit per aumentare la credibilità.
Il codice dannoso è incorporato in modo diverso a seconda del linguaggio di programmazione usato nei progetti falsi. Nei repository Python, gli attaccanti nascondono il payload utilizzando lunghe righe di spazio bianco seguite da un comando di decriptazione dello script. Nei progetti basati su Javascript, nascondono il malware all’interno di una funzione che decodifica ed esegue uno script codificato in Base64. Per i progetti in C, C++ e C#, gli attaccanti collocano uno script batch nascosto nei file del progetto Visual Studio, assicurando che il malware venga eseguito quando il progetto viene costruito.
Una volta eseguiti, questi script scaricano componenti dannosi aggiuntivi da un repository Github controllato dagli attaccanti. Questi includono un tool di furto basato su Node.js che estrae credenziali, dati di portafogli criptovalute e cronologia di navigazione prima di inviarli agli attaccanti tramite Telegram, così come strumenti di accesso remoto open-source come AsyncRAT e Quasar backdoor. È stato anche dispiegato un dirottatore di clipboard, che sostituisce gli indirizzi di portafogli criptovalute copiati con quelli controllati dagli attaccanti.
La campagna Gitvenom è attiva da almeno due anni, con tentativi di infezione rilevati a livello globale, particolarmente in Russia, Brasile e Turchia. I ricercatori di Kaspersky hanno enfatizzato i crescenti rischi dei repository dannosi, avvertendo:
Poiché piattaforme di condivisione del codice come Github sono utilizzate da milioni di sviluppatori in tutto il mondo, gli attori delle minacce continueranno sicuramente a utilizzare software falsi come esca per l’infezione.
“Per questo motivo, è cruciale gestire con molta attenzione l’elaborazione del codice di terze parti. Prima di tentare di eseguire tale codice o integrarlo in un progetto esistente, è fondamentale verificare attentamente quali azioni esso esegua,” hanno avvertito. Poiché le piattaforme open-source continuano a essere sfruttate dai cybercriminali, gli sviluppatori devono prestare attenzione per evitare che i loro ambienti vengano compromessi.
