Киберпреступники используют GitHub для распространения вредоносного ПО под видом полезных программ, нацеленных на криптокошельки.
Фальшивые репозитории GitHub воруют криптовалюты
Эти репозитории обещают доступ к инструментам для автоматизации соцсетей, управления криптокошельками и улучшения игр. Однако, вместо этого они устанавливают скрытые скрипты, которые скачивают дополнительное вредоносное ПО и нацелены на криптокошельки. Хакеры делают эти репозитории похожими на легитимные open-source проекты, обманывая разработчиков использовать их. Вредоносный код встречается в проектах на Python, JavaScript, C, C++ и C#. В Python команды скрыты за длинными последовательностями табуляций, устанавливающими криптографические инструменты и расшифровывающими скрытые нагрузки. В JavaScript применяют кодировку Base64 для запуска вредоносных скриптов. A в C-проектах вредоносное ПО прячется в файлах Visual Studio и запускается во время сборки. Согласно отчету Kaspersky, при активации эти скрипты крадут логины, данные криптокошельков и историю браузера, отправляя их хакерам через Telegram.
Риски опенсорсных проектов и как защититься
Эта атака не является новой. GitVenom активен на протяжении нескольких лет, включая репозитории двухлетней давности. Доклады Kaspersky показывают, что большинство атак было выявлено в России, Бразилии и Турции. Операционные системы с открытым исходным кодом одновременно полезны и могут быть опасны. Злоумышленники делают репозитории такими, чтобы они выглядели легитимными и обманывают разработчиков, побуждая их довериться этим репозиториям. Kaspersky призывает разработчиков к тщательному изучению GitHub-репозиториев перед их использованием.
Сложности выявления фальшивых репозиториев
Использование искусственного интеллекта для создания README файлов само по себе не подозрительно. Однако, если репозиторий выглядит слишком совершенным, это повод для дальнейшего расследования. Проверка настоящего внимания сообщества, отзывов пользователей и легитимных проектов, использующих код, может помочь. Однако, злоумышленники также создают фейковые отзывы и посты в соцсетях, что усложняет выявление мошенничества. Лучшей защитой является осторожность. Разработчики должны анализировать активность репозиториев, сканировать на скрытые скрипты и избегать слепого доверия к open-source коду.
Эти события происходят на фоне ключевого момента в криптовалютном рынке, где более $1,4 млрд были украдены группой Lazarus. В это же время, Microsoft Threat Intelligence обнаружила новый вариант вредоносного ПО XCSSET на устройствах с macOS, нацеленный на криптокошельки.
