Hackerlar, Kripto Para Çalmak için Github'u Kullanıyor—Zararlı Yazılım, Açık Kaynakta Gizli

Github Üzerinde Gizli Kötü Amaçlı Yazılım Kripto Cüzdanlarını Ele Geçiriyor

Yakın zamanda ortaya çıkan Gitvenom adlı bir siber kampanya, Github kullanıcılarını, meşru gibi görünen açık kaynaklı projelere gömülmüş zararlı kodlar ile hedef alıyor. Kaspersky araştırmacıları Georgy Kucherin ve Joao Godinho, siber suçluların gerçek yazılım araçlarını taklit eden sahte depolar oluşturduğunu belirledikleri operasyonu tespit etti.

Araştırmacılar açıkladı:

Gitvenom kampanyası boyunca, bunu gerçekleştiren tehdit aktörleri, zararlı kod içeren sahte projeleri içeren Github’da yüzlerce depo oluşturdu – örneğin, Instagram hesaplarıyla etkileşim için bir otomasyon aracı, bitcoin cüzdanlarını yönetmek için bir Telegram botu ve Valorant adlı video oyunu için bir hackleme aracı.

Saldırganlar, bu depoları otantik göstermek için büyük çaba sarf etmişler; yapay zeka tarafından oluşturulmuş README.md dosyaları kullanmakta, birden çok etiket eklemekte ve taahhüt geçmişlerini yapay olarak artırmakta.

Zararlı kod, sahte projelerde kullanılan programlama diline bağlı olarak farklı şekilde gömülüyor. Python depolarında saldırganlar, yükü uzun boşluk satırları kullanarak bir komut ile şifrelenmiş bir script şeklinde gizliyor. Javascript tabanlı projelerde, kötü amaçlı yazılımı Base64 ile kodlanmış bir script’i çözen ve çalıştıran bir fonksiyonun içinde saklıyorlar. C, C++ ve C# projeleri için ise saldırganlar, Visual Studio proje dosyalarına gizlenmiş bir batch script yerleştiriyor, böylece proje derlendiğinde kötü amaçlı yazılım çalışıyor.

Çalıştırıldığında bu scriptler, saldırgan tarafından kontrol edilen bir Github deposundan ek zararlı bileşenler indirir. Bu bileşenler; kimlik bilgilerini, kripto para cüzdan verilerini ve tarayıcı geçmişini çıkarıp bunları Telegram üzerinden saldırganlara gönderen bir Node.js tabanlı hırsız, AsyncRAT ve Quasar arka kapı gibi açık kaynaklı uzaktan erişim araçları içeriyor. Ayrıca, kopyalanan kripto para cüzdan adreslerini saldırganın kontrolündeki adreslerle değiştiren bir panoya sızan da konuşlandırıldı.

Gitvenom kampanyası en az iki yıldır aktif ve dünya genelinde özellikle Rusya, Brezilya ve Türkiye’de enfeksiyon girişimleri tespit edildi. Kaspersky araştırmacıları, kötü amaçlı depoların artan risklerine dikkat çekerek, şu uyarıda bulundu:

Github gibi kod paylaşım platformları dünya çapında milyonlarca geliştirici tarafından kullanıldıkça, tehdit aktörleri kesinlikle sahte yazılımı bir enfeksiyon cazibesi olarak kullanmaya devam edecektir.

“Bu nedenle, üçüncü taraf kod işleme işlemlerini çok dikkatli bir şekilde ele almak esastır. Bu tür kodları çalıştırmaya veya mevcut bir projeye entegre etmeye çalışmadan önce, hangi işlemleri gerçekleştirdiğini dikkatlice kontrol etmek çok önemlidir,” diye uyardılar. Açık kaynak platformlar siber suçlular tarafından sömürülmeye devam ettikçe, geliştiricilerin çevrelerini korumak için dikkatli olmaları gerekiyor.