hacker (Unsplash)

طبق گزارش کسپرسکی، کدهای GitHub که برای ساخت یک اپلیکیشن مدرن یا رفع باگ‌های موجود استفاده می‌کنید، ممکن است برای سرقت بیت‌کوین (BTC) یا دیگر دارایی‌های رمزنگاری شما به کار رود.

GitHub ابزاری محبوب در میان توسعه‌دهندگان است، به‌ویژه در پروژه‌های متمرکز بر رمزنگاری، جایی که یک اپلیکیشن ساده می‌تواند میلیون‌ها دلار درآمد ایجاد کند.

این گزارش به کاربران درباره کمپین “GitVenom” هشدار داده است که حداقل دو سال فعال بوده و به‌طور پیوسته در حال افزایش است. این کمپین شامل کاشت کدهای مخرب در پروژه‌های جعلی بر روی این پلتفرم محبوب است.

حمله با پروژه‌های GitHub که به‌ظاهر مشروع هستند آغاز می‌شود، مانند ساخت ربات‌های تلگرام برای مدیریت کیف پول‌های بیت‌کوین یا ابزارهایی برای بازی‌های کامپیوتری. هر پروژه دارای یک فایل README شیک است که اغلب توسط هوش مصنوعی تولید شده تا اعتماد ایجاد کند. اما خود کد یک اسب تروا است: در پروژه‌های مبتنی بر پایتون، مهاجمان اسکریپت‌های مخرب را پس از یک رشته عجیب از ۲۰۰۰ تب پنهان می‌کنند که یک بارگذاری مخرب را رمزگشایی و اجرا می‌کند.

برای جاوااسکریپت، یک تابع مخرب در فایل اصلی جاسازی شده که حمله را آغاز می‌کند. پس از فعال‌سازی، بدافزار ابزارهای اضافی را از یک مخزن GitHub کنترل‌شده توسط هکرها دریافت می‌کند.

پس از آلوده شدن سیستم، برنامه‌های مختلف دیگری برای اجرای اکسپلویت فعال می‌شوند. یک استیلر Node.js رمزهای عبور، جزئیات کیف پول‌های رمزنگاری و تاریخچه مرور را جمع‌آوری کرده و از طریق تلگرام ارسال می‌کند. تروجان‌های دسترسی از راه دور مانند AsyncRAT و Quasar دستگاه قربانی را تحت کنترل می‌گیرند، کلیدهای فشرده شده را ثبت و از صفحه‌نمایش عکس می‌گیرند.

یک “کلیپر” نیز آدرس‌های کیف پول کپی شده را با آدرس‌های هکرها جایگزین می‌کند و وجوه را به سمت خود هدایت می‌کند. یکی از این کیف پول‌ها تنها در ماه نوامبر ۵ بیت‌کوین به ارزش ۴۸۵,۰۰۰ دلار به دست آورد.

GitVenom حداقل دو سال است که فعال است و کاربران را به‌ویژه در روسیه، برزیل و ترکیه هدف قرار داده، هرچند که دامنه آن جهانی است.

مهاجمان با تقلید از توسعه فعال و تغییر تاکتیک‌های کدنویسی خود برای فرار از نرم‌افزارهای آنتی‌ویروس، این حملات را مخفی نگه می‌دارند.

چگونه کاربران می‌توانند از خود محافظت کنند؟ با بررسی دقیق هر کد قبل از اجرای آن، تأیید اصالت پروژه و مشکوک بودن به READMEهای بیش از حد شیک یا تاریخچه‌های تعهد نامنظم.

زیرا محققان انتظار ندارند این حملات به‌زودی متوقف شوند: “ما انتظار داریم این تلاش‌ها در آینده ادامه یابد، احتمالاً با تغییرات کوچک در تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs)”، کسپرسکی در پست خود نتیجه‌گیری کرد.

نوشته‌های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *