Хакеры используют Github для кражи криптовалюты — вредоносное ПО скрыто в открытом исходном коде

Тайное вредоносное ПО на Github захватывает криптокошельки

Недавно обнаруженная киберкампания под названием Gitvenom нацелена на пользователей Github путем встраивания вредоносного кода в якобы легитимные проекты с открытым исходным кодом. Исследователи из Kaspersky Георгий Кучерин и Жоао Годиньо выявили операцию, в которой киберпреступники создают поддельные репозитории, имитирующие настоящие программные инструменты.

Исследователи описали:

За время кампании Gitvenom злоумышленники создали сотни репозиториев на Github, содержащих поддельные проекты с вредоносным кодом, например, инструмент автоматизации для взаимодействия с аккаунтами Instagram, бота Telegram для управления биткойн-кошельками и хакерский инструмент для видеоигры Valorant.

Нападавшие приложили немало усилий, чтобы эти репозитории выглядели подлинно, используя сгенерированные AI файлы README.md, добавляя множество тегов и искусственно наращивая историю коммитов для повышения доверия.

Вредоносный код встраивается по-разному в зависимости от используемого в поддельных проектах языка программирования. В репозиториях Python злоумышленники скрывают загрузку, используя длинные строки пробелов, за которыми следует команда расшифровки скрипта. В проектах на Javascript они прячут вредоносное ПО внутри функции, которая декодирует и выполняет закодированный в Base64 скрипт. Для проектов на С, C++ и C# злоумышленники помещают скрытый пакетный скрипт в файлы проектов Visual Studio, что гарантирует выполнение вредоносного ПО при сборке проекта.

После выполнения эти скрипты загружают дополнительные вредоносные компоненты из репозитория на Github, контролируемого злоумышленниками. Среди них – инструменты для кражи данных на основе Node.js, которые извлекают учетные данные, данные криптовалютных кошельков и историю браузера, а затем отправляют их злоумышленникам через Telegram, а также инструменты удаленного доступа с открытым исходным кодом, такие как AsyncRAT и Quasar backdoor. Выявлен также похититель содержимого буфера обмена, заменяющий скопированные адреса криптокошельков на контролируемые злоумышленниками.

Кампания Gitvenom активна уже как минимум два года, и попытки заражения зафиксированы по всему миру, особенно в России, Бразилии и Турции. Исследователи из Kaspersky подчеркнули растущие риски вредоносных репозиториев, предупреждая:

Поскольку платформы для обмена кодом, такие как Github, используются миллионами разработчиков по всему миру, злоумышленники, несомненно, продолжат использовать поддельное программное обеспечение в качестве приманки для заражения.

“По этой причине крайне важно очень внимательно обрабатывать код сторонних разработчиков. Перед тем как выполнять такой код или интегрировать его в существующий проект, необходимо тщательно проверить, какие действия он выполняет,” предупредили они. Поскольку платформы с открытым исходным кодом продолжают использоваться киберпреступниками, разработчики должны проявлять осторожность, чтобы предотвратить компрометацию своих сред.