Исследователи «Касперского» обнаружили масштабную и длительную кампанию по распространению вредоносного ПО, использующую популярность GitHub и доверие пользователей, которые загружают код, не проверяя его на вирусы. В ходе операции GitVenom злоумышленники создали сотни фальшивых репозиториев на GitHub, в которых распространялись поддельные проекты с вредоносным кодом. Эти проекты маскировались под популярные инструменты, такие как автоматизация для Instagram, Telegram-боты для управления биткоин-кошельками, а также инструменты для взлома видеоигры Valorant.
Исследователи Касперского Георгий Кучерин и Жуан Годиньо объяснили, что хакеры использовали GitHub для распространения вредоносных репозиториев, заманивая жертв этими проектами на протяжении нескольких лет. Согласно данным телеметрии Касперского, попытки заражения, связанные с GitVenom, были зафиксированы по всему миру, с наибольшим количеством инцидентов в России, Бразилии и Турции. Это подтверждает высокую эффективность этого метода распространения вирусов.
Как было упомянуто ранее, вредоносные репозитории представлялись как полезные инструменты или игры, и выглядели вполне убедительно: они содержали тщательно оформленные файлы README.md (созданные, вероятно, с помощью инструментов искусственного интеллекта), а также выглядели обновленными (что на самом деле было лишь незначительными изменениями). Количество скачиваний также было искусственно завышено путем частых обновлений файлов, что создавалось впечатление, будто репозитории активно развиваются.
Репозитории включали код на Python, JavaScript, C, C++ и C#, однако сам код выполнял совершенно другие действия, чем те, что описаны в документации. На самом деле он скрывал сценарии, которые расшифровывали и выполняли другие скрипты, целью которых было загрузить и исполнить вредоносное ПО из репозитория, контролируемого хакерами.
В числе загруженных вредоносных программ были кража Node.js, AsyncRAT, Quasar backdoor и угонщик буфера обмена. Особое внимание привлекла часть вредоносного ПО, которая могла обнаруживать Bitcoin-кошельки и отправлять данные о них хакерам. Публичная история транзакций показала, что одна из жертв, не осознавая этого, перевела около 5 BTC на кошелек преступников, что еще раз подтверждает опасность данной кампании.
Этот случай не является первым, когда на GitHub был обнаружен вредоносный код, и, вероятно, не последним. Как подчеркивают Кучерин и Годиньо, с ростом популярности проектов с открытым исходным кодом, как частные лица, так и киберпреступники начали использовать такие репозитории для распространения вирусов. Поэтому очень важно внимательно относиться к стороннему коду, особенно если он загружается с GitHub. Перед тем как интегрировать такой код в проекты или запустить его на своей системе, необходимо тщательно проверять, что именно он делает, чтобы избежать заражения.
Исследователи также напоминают, что пользователи должны быть внимательны к тому, что они скачивают и запускают, и всегда проверять код на наличие скрытых функций, которые могут привести к кражам данных или другим проблемам безопасности.
Группа: Настройка и новости linux
Тема: Linux центр Крылья
Что думаете вы, дорогие наши подписчики? Делитесь своими впечатлениями в комментариях