Что происходит на GitHub?
Согласно последнему отчету компании Kaspersky, код на GitHub, который вы используете для создания популярных приложений или исправления ошибок, может оказаться инструментом для кражи ваших биткойнов (BTC) или других криптоактивов. GitHub — это популярная платформа среди разработчиков, особенно в сфере криптовалют, где даже простое приложение может приносить миллионы долларов.
Операция “GitVenom” и её опасности
В отчете упоминается о кампании “GitVenom”, которая активна как минимум два года и постепенно набирает популярность. Злоумышленники внедряют вредоносный код в поддельные проекты на этой известной платформе для размещения кода.
Как осуществляется атака?
Атака начинается с на первый взгляд легитимных проектов на GitHub, таких как создание Telegram-ботов для управления биткойн-кошельками или инструменты для компьютерных игр. Каждый проект сопровождается тщательно оформленным README-файлом, порой созданным с помощью ИИ, чтобы вызвать доверие у пользователей. Однако внутри кода скрывается троянский вирус.
Для проектов на Python злоумышленники прячут вредоносный скрипт за странной строкой из 2000 табуляций, который расшифровывает и выполняет вредоносный код. В случае с JavaScript, зловредная функция встраивается в главный файл, активируя атаку. После активации, вредоносное ПО загружает дополнительные инструменты из репозитория, контролируемого хакерами.
Последствия заражения
После заражения системы активируются различные программы для выполнения эксплойта. Например, троян для Node.js собирает пароли, данные о криптовалютных кошельках и историю браузера, а затем отправляет их через Telegram. Удаленные доступные трояны, такие как AsyncRAT и Quasar, захватывают устройство жертвы, регистрируя нажатия клавиш и делая снимки экрана.
Кроме того, существует “клиппер”, который меняет скопированные адреса кошельков на адреса хакеров, перенаправляя средства. В ноябре один из таких кошельков заработал 5 BTC, что на тот момент составляло около 485 000 долларов.
География атак и методы хакеров
Операция “GitVenom” активно атакует пользователей в России, Бразилии и Турции, хотя её охват является глобальным. Злоумышленники сохраняют скрытность, имитируя активную разработку и варьируя свои методы кодирования, чтобы избежать обнаружения антивирусным программным обеспечением.
Как защитить себя от атак?
Как же пользователи могут защитить себя? Прежде всего, следует внимательно проверять любой код перед его запуском, удостоверяться в подлинности проекта и настороженно относиться к слишком хорошо оформленным README или непоследовательным историям коммитов.
Будущее атак
Исследователи не ожидают, что эти атаки прекратятся в ближайшее время. “Мы ожидаем, что подобные попытки продолжатся в будущем, возможно, с небольшими изменениями в тактиках и методах”, — подытожили в Kaspersky.
