黑客利用Github窃取加密货币——恶意软件隐藏在开源中

Github上的隐秘恶意软件正在劫持加密钱包

最近曝光的一个网络活动名为Gitvenom，通过在看似合法的开源项目中嵌入恶意代码来针对Github用户。Kaspersky的研究员Georgy Kucherin和Joao Godinho识别出了这一操作，涉及网络犯罪分子创建仿真真实软件工具的虚假代码库。

研究人员描述：

在整个Gitvenom活动中，背后的威胁行为者在Github上创建了数百个包含加密代码的虚假项目的代码库——例如，一个用于与Instagram账户互动的自动化工具，一个允许管理比特币钱包的Telegram机器人，以及一个视频游戏Valorant的黑客工具。

攻击者不遗余力地让这些代码库看起来真实可信，使用了AI生成的README.md文件，添加了多个标签，并且人为地增加提交历史以增强可信度。

恶意代码根据伪装项目使用的编程语言嵌入的方式不同。在Python代码库中，攻击者使用长空白行，然后跟随一个脚本解密命令来隐藏有效载荷。在基于Javascript的项目中，他们将恶意软件隐藏在一个解码并执行Base64编码脚本的函数中。对于C、C++和C#项目，攻击者将隐藏的批处理脚本放置在Visual Studio项目文件中，确保项目构建时运行恶意软件。

一旦执行，这些脚本会从攻击者控制的Github库下载额外的恶意组件。这些包括一个基于Node.js的窃取器，它提取凭据、加密钱包数据和浏览历史，然后通过Telegram发送给攻击者，以及类似AsyncRAT和Quasar后门的开源远程访问工具。还部署了剪贴板劫持器，替换为攻击者控制的加密钱包地址。

Gitvenom活动至少已经活跃了两年，全球范围内检测到感染企图，特别是在俄罗斯、巴西和土耳其。Kaspersky研究人员强调了恶意代码库的日益增长的风险，并警告说：

由于像Github这样的代码共享平台被全球数百万开发者使用，威胁行为者肯定会继续使用假软件作为感染诱饵。

“因此，处理第三方代码时必须非常小心。在尝试运行这些代码或将其集成到现有项目之前，必须彻底检查它执行的操作”，他们告诫说。随着开源平台继续被网络犯罪分子利用，开发者必须谨慎，以防止他们的环境遭到破坏。