Исследователи «Касперского» обнаружили обширную и длительную кампанию по доставке вредоносного ПО, которая использовала склонность пользователей загружать код с GitHub и использовать его без предварительной проверки на наличие вирусов.
«В ходе кампании GitVenom хакеры создали на GitHub сотни репозиториев, содержащих поддельные проекты с вредоносным кодом – например, инструмент автоматизации для взаимодействия с аккаунтами Instagram, бот для Telegram, позволяющий управлять биткоин-кошельками, и инструмент для взлома видеоигры Valorant»
- пояснили исследователи Касперского Георгий Кучерин и Жуан Годиньо
«Учитывая, что злоумышленники заманивали жертв этими проектами в течение нескольких лет, вектор заражения, скорее всего, достаточно эффективен. По данным нашей телеметрии, попытки заражения, связанные с GitVenom, были зафиксированы по всему миру, причем наибольшее их количество приходится на Россию, Бразилию и Турцию».
Приманки и вредоносное ПО
Как отмечалось выше, вредоносные репозитории якобы предлагали полезные инструменты и игры, причем весьма убедительно: они содержали хорошо оформленные файлы README.md (вероятно, созданные с помощью инструментов искусственного интеллекта) и выглядели так, будто регулярно обновлялись (так оно и было, только не очень существенно).
Количество скачиваний было искусственно завышено за счет обновления файла каждые несколько минут.
Репозитории содержали код, написанный на Python, JavaScript, C, C и C#, но на самом деле он не делал того, о чем говорилось в файле README. Вместо этого он содержал скрытый код, который расшифровывал и выполнял скрипты, целью которых была загрузка и выполнение дополнительного вредоносного ПО из контролируемого злоумышленниками репозитория GitHub.
Среди загруженных вредоносных программ были кража Node.js, AsyncRAT, бэкдор Quasar и угонщик буфера обмена.
Последняя часть вредоносного ПО обнаружила кошелек Bitcoin, контролируемый мошенниками, стоящими за этой кампанией. Публичная история транзакций показывает, что одна жертва невольно отправила злоумышленнику около 5 BTC.
Советы пользователям GitHub
Это не первый случай обнаружения вредоносного ПО на GitHub и не последний.
«С появлением все большего числа проектов с открытым исходным кодом как государственные структуры, так и киберпреступники начали использовать свободно распространяемый код в качестве приманки для заражения своих целей»
- отмечают Кучерин и Годиньо
«По этой причине крайне важно очень внимательно относиться к работе стороннего кода. Прежде чем пытаться запустить такой код или интегрировать его в существующий проект, необходимо тщательно проверить, какие действия он выполняет».
Комментарии (0)