Хакери використовують підроблений код GitHub, щоб викрасти ваш Bitcoin: Kaspersky

Згідно зі звітом Kaspersky, код GitHub, який ви використовуєте для створення модного додатка або виправлення існуючих помилок, може бути просто використаний для викрадення ваших Bitcoin (BTC) або інших Крипто .

GitHub є популярним інструментом серед розробників усіх типів, але ще більше серед проектів, орієнтованих на криптовалюту, де проста програма може генерувати мільйони доларів доходу.

У звіті попереджено користувачів про кампанію «GitVenom», яка триває щонайменше два роки, але неухильно зростає, і передбачає розміщення шкідливого коду в підроблених проектах на популярній платформі сховища коду.

Атака починається з, здавалося б, законних проектів GitHub — наприклад, створення ботів Telegram для керування Bitcoin гаманцями або інструментів для комп’ютерних ігор.

Кожен постачається з відшліфованим файлом README, який часто створюється штучним інтелектом, щоб зміцнити довіру. Але сам код є троянським конем: для проектів на основі Python зловмисники ховають мерзенний сценарій після дивного рядка з 2000 вкладок, який розшифровує та виконує зловмисне корисне навантаження.

Для JavaScript шахрайська функція вбудована в основний файл, ініціюючи атаку запуску. Після активації зловмисне програмне забезпечення витягує додаткові інструменти з окремого контрольованого хакерами сховища GitHub.

(Вкладка впорядковує код, роблячи його читабельним шляхом вирівнювання рядків. Корисне навантаження — це CORE частина програми, яка виконує фактичну роботу — або завдає шкоди, у випадку зловмисного програмного забезпечення.)

Після зараження системи запускаються різні інші програми, які запускають експлойт. Викрадач Node.js збирає паролі, деталі Крипто гаманця та історію веб-перегляду, а потім групує та надсилає їх через Telegram. Трояни віддаленого доступу, такі як AsyncRAT і Quasar, захоплюють пристрій жертви, записують натискання клавіш і роблять знімки екрана.

«Кліпер» також замінює скопійовані адреси гаманців власними хакерами, перенаправляючи кошти. Лише в листопаді ONE такий гаманець приніс 5 BTC — на той момент 485 000 доларів.

Активний принаймні два роки, GitVenom найбільше вразив користувачів у Росії, Бразилії та Туреччині, хоча, за словами Касперського, його охоплення є глобальним.

Зловмисники KEEP його непомітно, імітуючи активну розробку та змінюючи тактику кодування, щоб уникнути антивірусного програмного забезпечення.

Як користувачі можуть захистити себе? Ретельно перевіряючи будь-який код перед його запуском, перевіряючи автентичність проекту та підозрюючи надто відшліфовані файли README або непослідовну історію комітів.

Оскільки дослідники T очікують, що ці атаки найближчим часом припиняться: «Ми очікуємо, що ці спроби триватимуть у майбутньому, можливо, з невеликими змінами в TTP», — підсумував Kaspersky у своїй публікації.