En snikende malware-kampanje kaprer kryptolommebøker ved å innebygge ondsinnet kode i falske open-source-prosjekter på Github, og lurer utviklere til å kjøre skjulte nyttelaster.
Hackere bruker Github for å stjele kryptovaluta—Malware skjult i åpen kildekode
Denne artikkelen ble publisert for mer enn et år siden. Noe informasjon er kanskje ikke lenger aktuell.
SKREVET AV
DEL
Snikende malware på Github kaprer kryptolommebøker
En nylig avdekket cyberkampanje kjent som Gitvenom har vært rettet mot Github-brukere ved å innebygge ondsinnet kode i tilsynelatende legitime open-source-prosjekter. Kaspersky-forskerne Georgy Kucherin og Joao Godinho identifiserte operasjonen, som involverer cyberkriminelle som oppretter falske repositorier som etterligner ekte programvareverktøy.
Forskerne beskrev:
I løpet av Gitvenom-kampanjen har trusselaktørene opprettet hundrevis av repositorier på Github som inneholder falske prosjekter med ondsinnet kode – for eksempel et automatiseringsinstrument for å samhandle med Instagram-kontoer, en Telegram-bot som lar deg administrere bitcoin-lommebøker, og et hackeverktøy for videospillet Valorant.
Angriperne har gått langt for å få disse repositoriene til å virke autentiske, ved å bruke AI-genererte README.md-filer, legge til flere tagger og kunstig oppblåse commit-historier for å øke troverdigheten.
Den ondsinnede koden er innebygd forskjellig avhengig av programmeringsspråket som brukes i de falske prosjektene. I Python-repositorier skjuler angriperne nyttelasten ved å bruke lange linjer med mellomrom etterfulgt av en skriptdekrypteringskommando. I Javascript-baserte prosjekter skjuler de malwaren innenfor en funksjon som dekoder og kjører et Base64-kodet skript. For C, C++ og C# prosjekter plasserer angriperne et skjult batch-skript i Visual Studio-prosjektfiler, og sørger for at malwaren kjører når prosjektet bygges.
Når disse skriptene kjører, lastes ytterligere ondsinnede komponenter ned fra et angriper-kontrollert Github-repository. Disse inkluderer en Node.js-basert tyv som trekker ut legitimasjoner, kryptovaluta-lommebokdata og nettleserhistorikk før den sendes til angripere via Telegram, samt open-source fjernkontrollverktøy som AsyncRAT og Quasar backdoor. En utklippstavle-kaprer ble også distribuert, som erstatter kopierte kryptovaluta-lommebokadresser med angriper-kontrollerte.
Gitvenom-kampanjen har vært aktiv i minst to år, med infeksjonsforsøk oppdaget verden over, særlig i Russland, Brasil og Tyrkia. Kaspersky-forskere understreket de økende risikoene ved ondsinnede repositorier, og advarte:
Ettersom kode-delingsplattformer som Github brukes av millioner av utviklere over hele verden, vil trusselaktører absolutt fortsette å bruke falsk programvare som en infeksjonslure.
“Av den grunn er det avgjørende å håndtere behandling av tredjepartskode svært nøye. Før du forsøker å kjøre slik kode eller integrere den i et eksisterende prosjekt, er det avgjørende å grundig sjekke hvilke handlinger den utfører,” advarte de. Etter hvert som open-source plattformer fortsetter å bli utnyttet av cyberkriminelle, må utviklere være forsiktige for å forhindre at miljøene deres blir kompromittert.
