Gli hacker stanno usando un codice GitHub falso per rubare i tuoi Bitcoin: Kaspersky

Secondo un rapporto di Kaspersky, il codice GitHub che utilizzi per creare un'applicazione di tendenza o correggere bug esistenti potrebbe essere utilizzato per rubare i tuoi Bitcoin (BTC) o altre Cripto .

GitHub è uno strumento popolare tra gli sviluppatori di tutti i tipi, ma lo è ancora di più tra i progetti incentrati sulle criptovalute, in cui una semplice applicazione può generare milioni di dollari di fatturato.

Il rapporto ha avvisato gli utenti di una campagna "GitVenom" attiva da almeno due anni ma in costante aumento, che prevede l'inserimento di codice dannoso in progetti falsi sulla popolare piattaforma di repository di codice.

L'attacco inizia con progetti GitHub apparentemente legittimi, come la creazione di bot Telegram per la gestione dei portafogli Bitcoin o strumenti per giochi per computer.

Ognuno è dotato di un file README rifinito, spesso generato dall'intelligenza artificiale, per creare fiducia. Ma il codice stesso è un cavallo di Troia: per i progetti basati su Python, gli aggressori nascondono uno script nefasto dopo una bizzarra stringa di 2.000 tab, che decifra ed esegue un payload dannoso.

Per JavaScript, una funzione canaglia è incorporata nel file principale, innescando l'attacco di lancio. Una volta attivato, il malware estrae strumenti aggiuntivi da un repository GitHub separato controllato dagli hacker.

(Una scheda organizza il codice, rendendolo leggibile tramite l'allineamento delle linee. Il payload è la parte CORE di un programma che esegue il lavoro effettivo, o il danno, nel caso del malware.)

Una volta infettato il sistema, vari altri programmi entrano in azione per eseguire l'exploit. Uno stealer Node.js raccoglie password, dettagli del portafoglio Cripto e cronologia di navigazione, quindi li raggruppa e li invia tramite Telegram. Trojan di accesso remoto come AsyncRAT e Quasar prendono il controllo del dispositivo della vittima, registrando le sequenze di tasti e catturando screenshot.

Un "clipper" scambia anche gli indirizzi dei wallet copiati con quelli degli hacker, reindirizzando i fondi. ONE di questi wallet ha fruttato 5 BTC , che all'epoca valevano 485.000 $, solo a novembre.

Attivo da almeno due anni, GitVenom ha colpito duramente gli utenti in Russia, Brasile e Turchia, sebbene la sua portata sia globale, secondo Kaspersky.

Gli aggressori KEEP la propria attività furtiva imitando lo sviluppo attivo e variando le loro tattiche di codifica per eludere i software antivirus.

Come possono proteggersi gli utenti? Esaminando attentamente qualsiasi codice prima di eseguirlo, verificando l'autenticità del progetto e diffidando di README eccessivamente elaborati o cronologie di commit incoerenti.

Poiché i ricercatori T si aspettano che questi attacchi cessino presto: "Prevediamo che questi tentativi continueranno in futuro, forse con piccole modifiche nelle TTP", ha concluso Kaspersky nel suo post.