В последние годы киберугрозы становятся все более разнообразными и опасными, особенно в мире криптовалют. Согласно последнему отчету от Kaspersky, хакеры начали активную кампанию, направленную на кражу криптовалюты и учетных данных пользователей с использованием фальшивых проектов на платформе GitHub. Эта кампания, получившая название GitVenom, уже охватила множество разработчиков и пользователей, и представляет собой серьезную угрозу для безопасности в сфере криптоинвестирования. GitHub — одна из самых популярных платформ для совместной работы над кодом. Ежедневно миллионы разработчиков загружают свои проекты, делятся кодом и используют различные библиотеки.
Однако привлекательность этой платформы также делает ее потенциальной целью для злоумышленников. В ходе исследования Kaspersky было установлено, что на платформе созданы сотни репозиториев, содержащих поддельные проекты, которые на самом деле загружают вредоносный код только для того, чтобы украсть аккаунты пользователей и их криптокошельки. Стратегия GitVenom Кампания GitVenom активно используется уже на протяжении двух лет и нацелена не только на пользователей в России, но и в Бразилии и Турции. Злоумышленники еще больше усовершенствовали свои методы, добавив в фальшивые репозитории различные элементы, которые делают их, казалось бы, убедительными. Они используют искусственные ресурсы для создания качественной документации и читаемого кода, чтобы обмануть пользователей.
Репозитории представлены как полезные инструменты, например, скрипты для автоматизации работы с Instagram или Telegram-боты для управления криптовалютными кошельками. Для повышения доверия к этим фальшивым проектам хакеры используют хитрые приемы, такие как добавление множества тегов и искусственное увеличение количество коммитов, что создает видимость активного развития проекта. Кроме того, в репозиториях может обновляться файл с метками времени, придавая им вид новым и активно обновляемым. Вредоносный код Анализ, проведенный Kaspersky, показал, что вредоносный код в репозиториях написан на различных языках программирования — от Python и JavaScript до C и C#. Это сделано для того, чтобы обойти системы проверки кода и повысить шансы на успешное заражение.
Функции, описанные в документации, оказались не реализованными на практике, а большинство действий кода ничего не значили и не имели логического целесообразия. Когда жертва запускает такой код, тот начинает загружать вторую фазу вредоносной программы из заранее подготовленного репозитория, контролируемого хакерами. Как правило, это программы, способные собирать информацию о пользователе, включая данные о криптокошельках и учетных записях. Основные элементы GitVenom В ходе анализа Kaspersky выделила несколько основных компонентов, используемых в кампании GitVenom: 1. Node.
js Stealer: Это инфостилер, который собирает учетные данные пользователя, включая данные криптокошелька и историю браузера. Собранные данные архивируются и передаются через Telegram. 2. AsyncRAT: Это открытый RAT (удаленный доступ к трудам), который дает атакующим возможность удалённо управлять устройством, делать скриншоты, записывать нажатия клавиш, выполнять команды и манипулировать файлами. 3.
Quasar Backdoor: Еще один открытый RAT с похожими возможностями, что и AsyncRAT, дающий полный контроль над зараженным устройством. 4. Hijacker буфера обмена: Этот вредоносный код следит за содержимым буфера обмена жертвы и может заменить адреса криптовалютных кошельков, вводя адреса, контролируемые хакером. Киберэксперты также сообщили о случае, когда в ноябре 2024 года на кошелек злоумышленников было переведено 5 BTC, что эквивалентно приблизительно полумиллиона долларов. Эта успешная атака еще раз подчеркивает серьезность проблемы и показывает степень разнообразия применяемых злоумышленниками средств.
Как защитить себя от атак на GitHub Несмотря на то, что вредоносные программы, внедренные в репозитории GitHub, не являются новинкой в мире киберугроз, масштабы кампании GitVenom вызывают серьезные опасения. Использование таких площадок, как GitHub, является нормой для миллионов разработчиков по всему миру, что открывает злоумышленникам широкие перспективы. Чтобы снизить риск заражения, крайне важно тщательно проверять любую программу или файл перед их использованием. Основные меры предосторожности включают: - Сканирование загружаемых файлов с помощью антивирусных решений. - Изучение содержимого репозитория на предмет наличия подозрительного кода.
- Запуск любых загруженных файлов в изолированной среде, чтобы избежать заражения основной системы. - Обращайте внимание на признаки неестественной активности, такие как обфусцированный код или чрезмерно подробные README-файлы, которые выглядят как сгенерированные ИИ. С ростом популярности криптовалют хакеры будут продолжать развивать свои методы, а разработчики должны быть бдительными и осторожными при использовании сторонних библиотек и инструментов. Важно помнить, что безопасность кода и личных данных — это ответственность каждого пользователя.
