Код GitHub, який ви використовуєте для створення модного додатка або виправлення існуючих помилок, може бути використаний для крадіжки ваших біткоїнів (BTC) або інших криптовалют, згідно зі звітом “Лабораторії Касперського”.
GitHub – популярний інструмент серед розробників усіх типів, але особливо серед криптовалютних проектів, де простий додаток може приносити мільйони доларів доходу.
У звіті користувачів попереджають про кампанію “GitVenom”, яка триває вже щонайменше два роки, але неухильно зростає, і полягає у розміщенні шкідливого коду в підроблених проектах на популярній платформі репозиторіїв коду.
Атака починається з легальних на перший погляд проектів GitHub – наприклад, створення Telegram-ботів для управління біткойн-гаманцями або інструментів для комп’ютерних ігор.
Кожен з них постачається з відшліфованим файлом README, часто згенерованим штучним інтелектом, щоб викликати довіру. Але сам код – це троянський кінь: У проектах на Python зловмисники ховають підступний скрипт за химерним ланцюжком з 2000 вкладок, який розшифровує і виконує шкідливе корисне навантаження.
Для JavaScript в основний файл вбудовується несанкціонована функція, яка запускає атаку запуску. Після активації шкідливе програмне забезпечення витягує додаткові інструменти з окремого репозиторію GitHub, контрольованого хакером.
(Табуляція впорядковує код, роблячи його читабельним завдяки вирівнюванню рядків. Корисне навантаження – це основна частина програми, яка виконує фактичну роботу – або завдає шкоди, у випадку зі шкідливим програмним забезпеченням)
.
Після зараження системи запускаються різні інші програми, щоб виконати експлойт. Викрадач Node.js збирає паролі, дані криптогаманців та історію переглядів, а потім об’єднує їх у пакети та надсилає через Telegram. Трояни для віддаленого доступу, такі як AsyncRAT і Quasar, захоплюють пристрій жертви, записуючи натискання клавіш і роблячи скріншоти.
“Кліппер” також підміняє скопійовані адреси гаманців на власні, перенаправляючи кошти. Лише в листопаді з одного такого гаманця було виведено 5 BTC, що на той час становило 485 000 доларів США.
За даними “Касперського”, GitVenom діє щонайменше два роки, і найбільше постраждали користувачі в Росії, Бразилії та Туреччині, хоча, за даними “Касперського”, він поширюється по всьому світу.
Зловмисники діють непомітно, імітуючи активну розробку та змінюючи тактику кодування, щоб обійти антивірусне програмне забезпечення.
Як користувачі можуть захистити себе? Уважно вивчаючи будь-який код перед запуском, перевіряючи автентичність проекту та з підозрою ставлячись до надто відполірованих README або непослідовних історій комітів.
Дослідники не очікують, що ці атаки припиняться найближчим часом: “Ми очікуємо, що ці спроби продовжаться в майбутньому, можливо, з невеликими змінами в TTP”, – підсумував Касперський у своєму дописі.