Хакеры используют поддельный код GitHub, чтобы украсть ваши Bitcoin: Kaspersky

Согласно отчету «Лаборатории Касперского», код GitHub, который вы используете для создания модного приложения или исправления существующих ошибок, может быть использован для кражи ваших Bitcoin (BTC) или других Криптo активов.

GitHub — популярный инструмент среди разработчиков всех типов, но еще более популярный среди проектов, ориентированных на криптовалюту, где простое приложение может приносить миллионы долларов дохода.

В отчете содержится предупреждение о кампании «GitVenom», которая действует уже не менее двух лет, но неуклонно набирает обороты. Она заключается в размещении вредоносного кода в поддельных проектах на популярной платформе репозитория кода.

Атака начинается с, казалось бы, легитимных проектов GitHub — например, создания ботов Telegram для управления Bitcoin кошельками или инструментов для компьютерных игр.

Каждый из них поставляется с отполированным файлом README, часто сгенерированным ИИ, для создания доверия. Но сам код — это троянский конь: для проектов на основе Python злоумышленники скрывают гнусный скрипт после странной строки из 2000 вкладок, которая расшифровывает и выполняет вредоносную полезную нагрузку.

Для JavaScript в основной файл встроена мошенническая функция, запускающая атаку запуска. После активации вредоносная программа извлекает дополнительные инструменты из отдельного контролируемого хакерами репозитория GitHub.

(Вкладка организует код, делая его читаемым путем выравнивания строк. Полезная нагрузка — это CORE часть программы, которая выполняет фактическую работу — или наносит вред, в случае вредоносного ПО.)

После заражения системы в дело вступают различные другие программы, которые выполняют эксплойт. Node.js-краулер собирает пароли, данные Криптo и историю просмотров, затем объединяет их и отправляет через Telegram. Трояны удаленного доступа, такие как AsyncRAT и Quasar, захватывают устройство жертвы, регистрируя нажатия клавиш и делая снимки экрана.

«Клиппер» также меняет скопированные адреса кошельков на собственные адреса хакеров, перенаправляя средства. ONE такой кошелек принес 5 BTC — на тот момент это было 485 000 долларов — только в ноябре.

GitVenom, действующий не менее двух лет, сильнее всего ударил по пользователям в России, Бразилии и Турции, хотя, по данным «Лаборатории Касперского», его охват распространяется по всему миру.

Злоумышленники KEEP скрытность, имитируя активную разработку и изменяя тактику кодирования, чтобы обойти антивирусное программное обеспечение.

Как пользователи могут защитить себя? Тщательно проверяя любой код перед его запуском, проверяя подлинность проекта и с подозрением относясь к слишком отполированным README или непоследовательным историям коммитов.

Потому что исследователи T ожидают, что эти атаки прекратятся в ближайшее время: «Мы ожидаем, что эти попытки продолжатся в будущем, возможно, с небольшими изменениями в TTP», — заключила «Лаборатория Касперского» в своем сообщении.