Hekerji uporabljajo Github za krajo kripto—Zlonamerna programska oprema skrita v odprti kodi

Potuhnjena zlonamerna programska oprema na Githubu ugrablja kripto denarnice

Nedavno odkrita kibernetska kampanja, znana kot Gitvenom, je ciljala uporabnike Githuba z vgrajevanjem zlonamerne kode v na videz legitimne odprtokodne projekte. Raziskovalca Kasperskyja Georgy Kucherin in Joao Godinho sta prepoznala operacijo, ki vključuje kibernetske kriminalce, ki ustvarjajo lažne repozitorije, ki posnemajo prava programska orodja.

Raziskovalci so opisali:

V času kampanje Gitvenom so storilci ustvarili na stotine repozitorijev na Githubu, ki vsebujejo lažne projekte z zlonamerno kodo – na primer, avtomatizacijski instrument za interakcijo z Instagram računi, Telegram bot za upravljanje bitcoin denarnic in hekersko orodje za video igro Valorant.

Napadalci so vložili veliko truda, da bi ti repozitoriji izgledali pristni, z uporabo besedil README.md, generiranih z umetno inteligenco, dodajanjem več oznak ter umetnim povečevanjem zgodovine sprememb za povečanje kredibilnosti.

Zlonamerna koda je vstavljena različno glede na programski jezik, uporabljen v lažnih projektih. V Python repozitorijih napadalci skrijejo nosilec bremena z dolgimi vrsticami presledkov, ki jim sledi ukaz za dešifriranje skripte. V projektih, ki temeljijo na Javascriptu, skrijejo zlonamerno programsko opremo znotraj funkcije, ki dekodira in izvaja Base64-kodirano skripto. Za projekte v C, C++ in C# napadalci postavijo skrito skripto ukazne vrstice v datoteke projektov Visual Studio, kar zagotovi, da se zlonamerna programska oprema zažene, ko je projekt sestavljen.

Ko so te skripte izvedene, prenesejo dodatne zlonamerne komponente iz napadalčevega repozitorija na Githubu. Te vključujejo krajo podatkov na podlagi Node.js, ki izvleče poverilnice, podatke o kriptodenarnicah in zgodovino brskanja ter jih pošlje napadalcem prek Telegrama, pa tudi odprtokodna orodja za oddaljeni dostop, kot sta AsyncRAT in Quasar backdoor. Uporabili so tudi ugrabitelja odložišča, ki zamenja kopirane naslove kriptodenarnic z napadalčevimi.

Kampanja Gitvenom je aktivna že vsaj dve leti, poskusi okužbe pa so bili zaznani po vsem svetu, zlasti v Rusiji, Braziliji in Turčiji. Raziskovalci Kasperskyja so poudarili naraščajoča tveganja zlonamernih repozitorijev, opozarjajoč:

Ker platforme za deljenje kode, kot je Github, uporabljajo milijoni razvijalcev po vsem svetu, bodo storilci zagotovo nadaljevali z uporabo lažne programske opreme kot okužbenega vab.

“Zaradi tega je izredno pomembno skrbno obravnavati obdelavo kode tretjih oseb. Preden poizkusite zagnati takšno kodo ali jo vključiti v obstoječi projekt, je ključno temeljito preveriti, katere ukrepe izvaja,” so opozorili. Ker odprtokodne platforme še naprej izkoriščajo kibernetski kriminalci, morajo razvijalci biti previdni, da preprečijo kompromitiranje njihovih okolij.