Hackers Gebruiken Github om Crypto te Stelen—Malware Verborgen in Open Source

Heimelijke Malware op Github Kaapt Cryptowallets

Een recentelijk ontdekte cybercampagne, bekend als Gitvenom, richt zich op Github-gebruikers door kwaadaardige code in schijnbaar legitieme open-sourceprojecten in te bedden. Kaspersky-onderzoekers Georgy Kucherin en Joao Godinho identificeerden de operatie, waarbij cybercriminelen frauduleuze repositories creëren die echte softwaretools nabootsen.

De onderzoekers beschreven:

In de loop van de Gitvenom-campagne hebben de dreigingsactoren erachter honderden repositories op Github gemaakt die valse projecten met kwaadaardige code bevatten – bijvoorbeeld een automatiseringsinstrument voor het omgaan met Instagram-accounts, een Telegram-bot die het beheren van bitcoin-wallets mogelijk maakt, en een hacktool voor het videospel Valorant.

De aanvallers hebben veel moeite gestoken in het laten lijken van deze repositories als authentiek, door AI-gegenereerde README.md-bestanden te gebruiken, meerdere tags toe te voegen, en commitgeschiedenissen kunstmatig op te blazen om de geloofwaardigheid te versterken.

De kwaadaardige code wordt anders ingebed afhankelijk van de programmeertaal die in de valse projecten wordt gebruikt. In Python-repositories verbergen aanvallers de payload met behulp van lange lijnen witruimte gevolgd door een script-decryptiecommando. In Javascript-gebaseerde projecten verbergen ze de malware binnen een functie die een Base64-gecodeerd script decodeert en uitvoert. Voor C, C++ en C#-projecten plaatsen de aanvallers een verborgen batchscript in Visual Studio-projectbestanden, waardoor de malware wordt uitgevoerd wanneer het project wordt gebouwd.

Zodra ze worden uitgevoerd, downloaden deze scripts aanvullende kwaadaardige componenten van een door de aanvaller beheerde Github-repository. Deze omvatten een op Node.js gebaseerde stealer die inloggegevens, cryptowalletgegevens en browsegeschiedenis extraheert voordat deze via Telegram naar aanvallers wordt verzonden, evenals open-source remote access tools zoals AsyncRAT en Quasar backdoor. Er werd ook een klembordkaper ingezet, die gekopieerde cryptowalletadressen vervangt door door de aanvaller beheerde adressen.

De Gitvenom-campagne is al minstens twee jaar actief, met infectiepogingen gedetecteerd wereldwijd, vooral in Rusland, Brazilië en Turkije. Kaspersky-onderzoekers benadrukten de groeiende risico’s van kwaadaardige repositories en waarschuwden:

Aangezien code-sharing platforms zoals Github door miljoenen ontwikkelaars wereldwijd worden gebruikt, zullen dreigingsactoren zeker doorgaan met het gebruiken van valse software als een infectieaas.

“Om die reden is het cruciaal om de verwerking van code van derden zeer zorgvuldig te behandelen. Voordat men probeert dergelijke code uit te voeren of deze in een bestaand project te integreren, is het van vitaal belang om grondig te controleren welke acties het uitvoert,” waarschuwden ze. Aangezien open-source platformen blijven worden uitgebuit door cybercriminelen, moeten ontwikkelaars voorzichtig zijn om te voorkomen dat hun omgevingen worden gecompromitteerd.