Недавний анализ выявил опасную киберкампанию под названием GitVenom, использующую открытый исходный код на платформах вроде GitHub для распространения вредоносного ПО. Хакеры создают многочисленные хранилища с поддельными проектами, которые выглядят как легитимные, обманывая пользователей и заставляя их скачивать вредоносные файлы.
Как работает GitVenom?
Мошенники удосужились разработать хранилища, которые содержат:
- Поддельные проекты, выглядящие настоящими.
- Обработанные файлы README.md с вводящей в заблуждение информацией.
- Инструкции по сборке, призванные завоевать доверие пользователей.
Основным направлением мошеннических проектов являются инструменты автоматизации для социальных сетей и управления криптовалютами.
Технические детали опасных проектов
Анализ кода показывает, что, несмотря на кажущуюся функциональность, большинство проектов выполняет бессмысленные действия, скрывающие вредоносные элементы:
- В проектах на Python злоумышленники внедряют полезную нагрузку, используя табуляцию с последующим скриптом для расшифровки.
- Скрипты на JavaScript имеют скрытые функции, расшифровывающие коды из Base64.
- В проектах на C, C++ и C# вредоносный код прячется в файлах проекта Visual Studio, которые запускаются в процессе сборки с использованием атрибута PreBuildEvent.
Вредоносные компоненты и целевая аудитория
GitVenom нацеливается на загрузку дополнительных вредоносных компонентов из контролируемых репозиториев, включая:
- Node.js перехватчик, собирающий учетные данные и криптовалютные данные.
- Имплантат AsyncRAT.
- Бэкдор Quasar.
- Программа, перехватывающая буфер обмена и меняющая адреса криптовалютных кошельков на адреса злоумышленников.
Глобальные масштабы угрозы
Эффективность кампании GitVenom подтверждается данными телеметрии, показывающими глобальную активность с заметным сосредоточением в следующих странах:
- Россия
- Бразилия
- Турция
Некоторые вредоносные проекты действуют уже два года, что указывает на долгосрочную эффективность данной тактики, основанной на приманке.
Рекомендации для разработчиков
Учитывая, что сервисы совместного использования кода являются критически важными для рабочих процессов разработчиков, они должны:
- Тщательно проверять сторонний код.
- Понимать, какие действия выполняет код перед интеграцией.
- Выявлять вредоносный контент для защиты своей среды разработки.
Как показала практика, такая проверка становится неотъемлемой частью обеспечения безопасности в работе с открытым кодом.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Киберкампания GitVenom: ловушки в коде на GitHub".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.