طبق گزارش کسپرسکی، کدهای GitHub که برای ساخت یک اپلیکیشن مدرن یا رفع باگهای موجود استفاده میکنید، ممکن است برای سرقت بیتکوین (BTC) یا دیگر داراییهای رمزنگاری شما به کار رود.
GitHub ابزاری محبوب در میان توسعهدهندگان است، بهویژه در پروژههای متمرکز بر رمزنگاری، جایی که یک اپلیکیشن ساده میتواند میلیونها دلار درآمد ایجاد کند.
این گزارش به کاربران درباره کمپین “GitVenom” هشدار داده است که حداقل دو سال فعال بوده و بهطور پیوسته در حال افزایش است. این کمپین شامل کاشت کدهای مخرب در پروژههای جعلی بر روی این پلتفرم محبوب است.
حمله با پروژههای GitHub که بهظاهر مشروع هستند آغاز میشود، مانند ساخت رباتهای تلگرام برای مدیریت کیف پولهای بیتکوین یا ابزارهایی برای بازیهای کامپیوتری. هر پروژه دارای یک فایل README شیک است که اغلب توسط هوش مصنوعی تولید شده تا اعتماد ایجاد کند. اما خود کد یک اسب تروا است: در پروژههای مبتنی بر پایتون، مهاجمان اسکریپتهای مخرب را پس از یک رشته عجیب از ۲۰۰۰ تب پنهان میکنند که یک بارگذاری مخرب را رمزگشایی و اجرا میکند.
برای جاوااسکریپت، یک تابع مخرب در فایل اصلی جاسازی شده که حمله را آغاز میکند. پس از فعالسازی، بدافزار ابزارهای اضافی را از یک مخزن GitHub کنترلشده توسط هکرها دریافت میکند.
پس از آلوده شدن سیستم، برنامههای مختلف دیگری برای اجرای اکسپلویت فعال میشوند. یک استیلر Node.js رمزهای عبور، جزئیات کیف پولهای رمزنگاری و تاریخچه مرور را جمعآوری کرده و از طریق تلگرام ارسال میکند. تروجانهای دسترسی از راه دور مانند AsyncRAT و Quasar دستگاه قربانی را تحت کنترل میگیرند، کلیدهای فشرده شده را ثبت و از صفحهنمایش عکس میگیرند.
یک “کلیپر” نیز آدرسهای کیف پول کپی شده را با آدرسهای هکرها جایگزین میکند و وجوه را به سمت خود هدایت میکند. یکی از این کیف پولها تنها در ماه نوامبر ۵ بیتکوین به ارزش ۴۸۵,۰۰۰ دلار به دست آورد.
GitVenom حداقل دو سال است که فعال است و کاربران را بهویژه در روسیه، برزیل و ترکیه هدف قرار داده، هرچند که دامنه آن جهانی است.
مهاجمان با تقلید از توسعه فعال و تغییر تاکتیکهای کدنویسی خود برای فرار از نرمافزارهای آنتیویروس، این حملات را مخفی نگه میدارند.
چگونه کاربران میتوانند از خود محافظت کنند؟ با بررسی دقیق هر کد قبل از اجرای آن، تأیید اصالت پروژه و مشکوک بودن به READMEهای بیش از حد شیک یا تاریخچههای تعهد نامنظم.
زیرا محققان انتظار ندارند این حملات بهزودی متوقف شوند: “ما انتظار داریم این تلاشها در آینده ادامه یابد، احتمالاً با تغییرات کوچک در تاکتیکها، تکنیکها و رویهها (TTPs)”، کسپرسکی در پست خود نتیجهگیری کرد.
