En obemärkt malware-kampanj kapar kryptoplånböcker genom att bädda in skadlig kod i falska open-source-projekt på Github, vilket lurar utvecklare att köra dolda nyttolaster.
Hackare använder Github för att stjäla kryptovaluta—Skadlig kod gömd i öppen källkod
Denna artikel publicerades för mer än ett år sedan. Viss information kanske inte längre är aktuell.
SKRIVEN AV
DELA
Obemärkt Malware på Github Kapar Kryptoplånböcker
En nyligen upptäckt cyberkampanj kallad Gitvenom har riktat sig mot Github-användare genom att bädda in skadlig kod i till synes legitima open-source-projekt. Kaspersky-forskarna Georgy Kucherin och Joao Godinho identifierade operationen, som innebär att cyberbrottslingar skapar bedrägliga arkiv som imiterar verkliga mjukvaruverktyg.
Forskarna beskrev:
Under Gitvenom-kampanjen har hotaktörerna skapat hundratals arkiv på Github som innehåller falska projekt med skadlig kod – till exempel ett automatiseringsverktyg för interaktion med Instagram-konton, en Telegram-bot som tillåter hantering av bitcoin-plånböcker, och ett hackingverktyg för tv-spelet Valorant.
Angriparna har gått långt för att få dessa arkiv att verka autentiska, genom att använda AI-genererade README.md-filer, lägga till flera taggar och konstlat öka commit-historierna för att förbättra trovärdigheten.
Den skadliga koden bäddas in på olika sätt beroende på vilket programmeringsspråk som används i de falska projekten. I Python-arkiv döljer angriparna nyttolasten med långa rader av blanksteg följt av ett skriptdekrypteringskommando. I Javascript-baserade projekt gömmer de malwaren inom en funktion som avkodar och kör ett Base64-kodat skript. För C-, C++-, och C#-projekt placerar angriparna ett dolt batch-skript i Visual Studio-projektfiler, vilket säkerställer att malwaren körs när projektet byggs.
När dessa skript körs laddar de ner ytterligare skadliga komponenter från ett angriparkontrollerat Github-arkiv. Dessa inkluderar en Node.js-baserad stjäla som extraherar inloggningsuppgifter, kryptovalutaplånboksdata och webbhistorik innan den skickas till angriparna via Telegram, samt öppna fjärråtkomstverktyg som AsyncRAT och Quasar backdoor. En urklippskapare deployerades också, som ersätter kopierade kryptovalutaplånboksadresser med angriparkontrollerade adresser.
Gitvenom-kampanjen har varit aktiv i minst två år, med infekteringsförsök upptäckta världen över, särskilt i Ryssland, Brasilien och Turkiet. Kaspersky-forskare betonade de växande riskerna med skadliga arkiv och varnade:
Eftersom koddelningsplattformar såsom Github används av miljoner utvecklare världen över, kommer hotaktörer säkerligen fortsätta använda falsk mjukvara som en infektion lockbete.
“Av den anledningen är det avgörande att hantera bearbetningen av tredjepartskod mycket noggrant. Innan man försöker köra sådan kod eller integrera den i ett befintligt projekt, är det viktigt att noggrant kontrollera vilka åtgärder den utför,” varnade de. Eftersom open-source-plattformar fortsätter att utnyttjas av cyberbrottslingar måste utvecklare iaktta försiktighet för att förhindra att deras miljöer blir komprometterade.
Taggar i denna artikel
Bitcoin spelval
130% upp till 2 500 USDT + 200 Gratissnurr + 20% Veckovis Omsättningsfri Cashback
