Хакеры делают фальшивые проекты GitHub, чтобы украсть крипто: Касперский

Хакеры создают сотни фальшивых проектов GitHub, направленных на то, чтобы пользователи обманули загрузку криптовалюты и вредоносных программ, по словам фирмы кибербезопасности Kaspersky.

Аналитик Kaspersky Georgy Kucherin заявила в отчете 24 февраля, что кампания вредоносных программ, которую компания назвала «Gitvenom», привела к тому, что хакеры создали сотни репозитории на фальшивых проектах Github, которые содержат трояны удаленного доступа (крысы), информационные звезды и буфераугонщики.

Некоторые из фальшивых проектов включают в себя бот Telegram, который управляет биткоинскими кошельками и инструментом для автоматизации взаимодействия с учетной записью Instagram.

Кучерин добавил, что производители вредоносных программ «пошли на многое», чтобы проекты выглядели законными, включив «хорошо разработанную» информацию и файлы инструкций, которые «возможно сгенерированы с использованием инструментов ИИ».

Те, кто стоит за вредоносными проектами, также искусственно завышали количество «коммитов» или изменений в проекте, наряду с добавлением нескольких ссылок на конкретные изменения, чтобы дать появление, что проект активно улучшается.

«Для этого они разместили файл временной метки в этих репозиториях, который обновлялся каждые несколько минут».

«Очевидно, что при разработке этих поддельных проектов актеры пошли на многое, чтобы репозитории казались законными для потенциальных целей», – сказал Кучерин в отчете.

Проекты не реализовали функции, обсуждаемые в инструкциях и файлах объяснения, и Касперский обнаружил, что они в основном «выполняли бессмысленные действия».

В ходе своего расследования Касперский обнаружил несколько поддельных проектов, датируемых не менее двух лет, и предположил, что «вектор инфекции, вероятно, довольно эффективен», потому что хакеры в течение долгого времени приживают жертв.

Независимо от того, как представляет фальшивый проект, Кучерин сказал, что у всех них есть «вредоносные полезные нагрузки», которые загружают компоненты, такие как информационный краж, который берет сохраненные учетные данные, данные криптовалюты кошелька, а также история просмотра и загружает его в хакеров через Telegram.

Другой вредоносный компонент использует угонщика для буфера обмена, который ищет адреса криптовалюты кошелька и заменяет их на атакующие контролируемые.

Кучерин сказал, что эти злонамеренные приложения зашнували как минимум одного пользователя в ноябре, когда кошелек, контролируемый хакером, получил 5 Биткоин (BTC), в настоящее время стоит около 442 000 долларов.

По словам Касперского, кампания Gitvenom наблюдалась во всем мире, но сосредоточена на заражении пользователей из России, Бразилии и Турции.

Связанный: потери вымогателей на 35% по сравнению с аналогичным периодом прошлого года: цепочка

Кучерин говорит, что, поскольку платформы для обмена кодами, такие как GitHub, используются миллионами разработчиков по всему миру, актеры угроз будут продолжать использовать поддельное программное обеспечение в качестве приманки для инфекции.

Он сообщил, что было важно проверить, какие действия выполняет любой сторонний код перед загрузкой.

Кучерин добавил, что компания ожидает, что злоумышленники продолжит публиковать вредоносные проекты, но «возможно, с небольшими изменениями» в их тактике, методах и процедурах.