Gumagamit ang mga Hacker ng Pekeng GitHub Code para Nakawin ang Iyong Bitcoin: Kaspersky

Ang GitHub code na iyong ginagamit upang bumuo ng isang naka-istilong application o i-patch ang mga umiiral na bug ay maaaring gamitin lamang upang nakawin ang iyong Bitcoin (BTC) o iba pang Crypto holdings, ayon sa isang ulat ng Kaspersky.

Ang GitHub ay sikat na tool sa mga developer ng lahat ng uri, ngunit higit pa sa mga proyektong nakatuon sa crypto, kung saan ang isang simpleng application ay maaaring makabuo ng milyun-milyong dolyar na kita.

Binalaan ng ulat ang mga user ng isang campaign na "GitVenom" na naging aktibo sa loob ng hindi bababa sa dalawang taon ngunit patuloy na tumataas, na kinasasangkutan ng pagtatanim ng malisyosong code sa mga pekeng proyekto sa sikat na code repository platform.

Nagsisimula ang pag-atake sa tila mga lehitimong proyekto ng GitHub — tulad ng paggawa ng mga Telegram bot para sa pamamahala ng mga Bitcoin wallet o mga tool para sa mga laro sa computer.

Bawat isa ay may kasamang pinakintab na README file, kadalasang binuo ng AI, upang bumuo ng tiwala. Ngunit ang code mismo ay isang Trojan horse: Para sa mga proyektong batay sa Python, ang mga umaatake ay nagtatago ng kasuklam-suklam na script pagkatapos ng kakaibang string ng 2,000 tab, na nagde-decrypt at nagsasagawa ng malisyosong payload.

Para sa JavaScript, may naka-embed na rogue function sa pangunahing file, na nagti-trigger ng pag-atake sa paglulunsad. Kapag na-activate na, kumukuha ang malware ng mga karagdagang tool mula sa isang hiwalay na imbakan ng GitHub na kontrolado ng hacker.

(Ang isang tab ay nag-aayos ng code, ginagawa itong nababasa sa pamamagitan ng pag-align ng mga linya. Ang payload ay ang CORE bahagi ng isang program na gumagawa ng aktwal na gawain — o nakakapinsala, sa kaso ng malware.)

Kapag ang system ay nahawahan, iba't ibang mga programa ang kick in upang maisagawa ang pagsasamantala. Ang isang Node.js stealer ay kumukuha ng mga password, mga detalye ng Crypto wallet, at kasaysayan ng pagba-browse, pagkatapos ay i-bundle at ipapadala ang mga ito sa pamamagitan ng Telegram. Ang mga remote access na trojan tulad ng AsyncRAT at Quasar ang pumalit sa device ng biktima, nagla-log ng mga keystroke at kumukuha ng mga screenshot.

Ang isang "clipper" ay nagpapalit din ng mga kinopyang wallet address sa sariling mga hacker, na nagre-redirect ng mga pondo. Ang ONE sa gayong wallet ay nakakuha ng 5 BTC — nagkakahalaga ng $485,000 noong panahong iyon — noong Nobyembre lamang.

Aktibo sa loob ng hindi bababa sa dalawang taon, ang GitVenom ay pinakanatamaan ang mga user sa Russia, Brazil, at Turkey, kahit na ang abot nito ay pandaigdigan, bawat Kaspersky.

KEEP itong patago ng mga umaatake sa pamamagitan ng paggaya sa aktibong pag-unlad at pag-iiba-iba ng kanilang mga taktika sa pag-coding upang maiwasan ang antivirus software.

Paano mapoprotektahan ng mga gumagamit ang kanilang sarili? Sa pamamagitan ng pagsisiyasat sa anumang code bago ito patakbuhin, pag-verify sa pagiging tunay ng proyekto, at pagiging kahina-hinala sa mga sobrang pulidong README o hindi naaayon sa mga kasaysayan ng commit.

Dahil T inaasahan ng mga mananaliksik na hihinto ang mga pag-atakeng ito anumang oras sa lalong madaling panahon: "Inaasahan namin na magpapatuloy ang mga pagtatangka na ito sa hinaharap, posibleng may maliliit na pagbabago sa mga TTP," pagtatapos ng Kaspersky sa post nito.