Таємна кампанія зловмисного програмного забезпечення викрадає криптогаманці шляхом вбудовування шкідливого коду у фальшиві проекти з відкритим кодом на Github, обманюючи розробників виконувати приховані завантаження.
Хакери використовують Github для крадіжки криптовалюти — шкідливе ПЗ приховане у відкритому коді
Ця стаття була опублікована понад рік тому. Деяка інформація може бути неактуальною.
АВТОР
ПОДІЛИТИСЯ
Таємне зловмисне ПЗ на Github викрадає криптогаманці
Нещодавно виявлена кіберкампанія під назвою Gitvenom націлена на користувачів Github шляхом вбудовування шкідливого коду в проекти з відкритим кодом, що виглядають легітимними. Дослідники з Kaspersky, Георгій Кучерін та Жоао Годіньо, ідентифікували цю операцію, яка передбачає створення кіберзлочинцями фальшивих репозиторіїв, що імітують справжні програмні інструменти.
Дослідники описали:
Протягом кампанії Gitvenom, зловмисники створили сотні репозиторіїв на Github, що містять підроблені проекти зі шкідливим кодом — наприклад, інструмент автоматизації для взаємодії з акаунтами Instagram, бот для Telegram, що дозволяє керувати біткоїн-гаманцями, та інструмент зламу для відеоігри Valorant.
Атакувальники доклали значних зусиль, щоб ці репозиторії виглядали автентичними, використовуючи згенеровані штучним інтелектом файли README.md, додаючи численні теги та штучно роздмухуючи історії комітів, щоб підвищити довіру.
Шкідливий код вбудовується по-різному залежно від мови програмування, що використовується у фальшивих проектах. У репозиторіях Python зловмисники приховують завантаження за допомогою довгих рядків пробілів, що завершуються командою декодування скрипту. У проектах на основі Javascript вони ховають зловмисне ПЗ у функції, що декодує та виконує Base64-кодований скрипт. У проектах на C, C++ та C# зловмисники розміщують прихований пакетний скрипт у файлах проектів Visual Studio, забезпечуючи запуск зловмисного ПЗ при побудові проекту.
Після виконання ці скрипти завантажують додаткові шкідливі компоненти з репозиторію на Github, яким керують атакувальники. Це включає стіллер на основі Node.js, який витягує облікові дані, дані криптогаманців та історію перегляду, відправляючи їх до атакувальників через Telegram, а також інструменти віддаленого доступу з відкритим кодом, такі як AsyncRAT та бекдор Quasar. Був також реалізований викрадач буфера обміну, що замінює скопійовані адреси криптогаманців на контрольовані атакувальниками.
Кампанія Gitvenom активна вже як мінімум два роки, з спробами інфекції, виявленими по всьому світу, особливо в Росії, Бразилії та Туреччині. Дослідники Kaspersky підкреслили зростаючі ризики шкідливих репозиторіїв, застерігаючи:
Оскільки платформи для спільного використання коду, такі як Github, використовуються мільйонами розробників у всьому світі, зловмисники, безумовно, продовжать використовувати підроблене програмне забезпечення як приманку для інфекції.
“З цієї причини дуже важливо обережно обробляти код, що походить від третіх сторін. Перш ніж намагатись запустити такий код або інтегрувати його в існуючий проект, необхідно старанно перевірити, які дії він виконує,” застерігали вони. Оскільки платформи з відкритим кодом продовжують використовуватися кіберзлочинцями, розробники повинні дотримуватися обережності, щоб уникнути компрометації своїх середовищ.
