Sofisticirana kampanja malicioznog softvera nazvana “GitVenom” iskoristila je GitHubov open-source ekosistem za distribuciju malicioznog koda kroz hiljade lažnih skladišta, ciljajući programere koji traže alate za automatizaciju, alate za kriptovalute i hakove za igre.
Kampanja, aktivna najmanje od 2023. godine, koristi napredne taktike društvenog inženjeringa kako bi prikrila maliciozne sadržaje kao legitimne projekte, kompromitirajući globalno sisteme kradljivacima kriptovaluta i trojancima za daljinski pristup.
Napadači su kreirali stotine GitHub repozitorija koji sadrže lažne projekte za botove za automatizaciju Instagrama, menadžere Bitcoin novčanika i alate za hakovanje Valorant.
Ova skladišta su sadržavala profesionalno dizajnirane README.md datoteke sa uputstvima za instalaciju, historijom verzija i oznakama kao što su “ Blockchain ” ili “Steam API” kako bi izgledali vjerodostojno.
Ovdje struktura tipičnog malicioznog skladišta prikazuje datoteke vremenske oznake koje se ažuriraju svakih nekoliko minuta da simuliraju aktivni razvoj.
.webp)
Implantacija malicioznog koda varira u zavisnosti od programskog jezika. Sigurnosni analitičari u Securelist-u su primijetili da su u Python projektima napadači umetnuli udubljenje od 2.000 kartica praćeno skrivenom naredbom za instalaciju kriptografskog paketa i izvršavanje dekodirane skripte:
subprocess. Run(['pip', 'install', 'cryptography'], stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)Ova tehnika je zaobišla povremene preglede koda iskorištavanjem Python-ove osjetljivosti na razmak. JavaScript skladišta sadržavala su Base64-kodirana korisna opterećenja unutar naizgled normalnih funkcija.
.webp)
Dekodirane skripte su dohvatile sekundarne korisne podatke iz GitHub skladišta pod kontrolom napadača Dipo17/battle, u kojem je bilo:-
- Node.js kradljivac koji prikuplja kredencijale, wallet.dat datoteke i istorije pretraživača, komprimirane u .7z arhive poslane putem Telegram botova
- Modificirane verzije AsyncRAT i Quasar RAT povezivanja na C2 server 138.68.81.155
- Otmičar klipborda koji je zamenio adrese kriptovaluta napadačevim Bitcoin novčanikom (bc1qtxlz2m6r[…]yspzt), koji je primio ~5 BTC (485.000 dolara) u novembru 2024.
Za kompajlirane jezike kao što je C/C++, napadači su ugradili maliciozne grupne skripte u datoteke projekta Visual Studio:
cmd /c "powershell -ep bypass -c [...binary blob...]"Ovo je izvršeno tokom kompilacije projekta, demonstrirajući prilagodljivost kampanje na više platformi.
GitVenomova infrastruktura pokazuje znakove kontinuiranog rada, a pokušaji zaraze koncentrisani su u Rusiji (38%), Brazilu (22%) i Turskoj (17%).
Uspjeh kampanje proizlazi iz toga što programeri vjeruju javnim skladišta bez provjere integriteta koda.
Stručnjaci za sigurnost preporučuju:
- Korištenje IDE dodataka za otkrivanje anomalnih uzoraka razmaka
- Sandboxing izvršavanje koda treće strane
- Nadgledanje mrežnog saobraćaja za konekcije na nedokumentovana GitHub spremišta
Istraživači su identifikovali dvije maliciozne arhive skladišta putem SHA-256 heševa 06d0d13a4ce73775cf94a4a4f2314490de1d5b9af12db8ba9b01cd14222a2756 i bd44a831ecf463756e106668ac877c6b66a2c0b954d13d6f311800e75e9c6678, pozivajući organizacije da skeniraju ove potpise.
Kako su GitHub recenzije navodno propustile ova spremišta godinama, incident pokazuje potrebu za alatima za statičku analizu na nivou platforme kako bi se upotpunila budnost korisnika.
Izvor: CyberSecurityNews