Современное программное обеспечение во многом зависит от открытого исходного кода, который позволяет разработчикам использовать уже готовые решения и улучшать их. Это подход экономит время и ресурсы, однако с ростом популярности таких проектов возрастает и риск киберпреступлений.
Особенно наглядным примером служит кампания «GitVenom», нацеленная на пользователей GitHub. Злоумышленники создали множество поддельных репозиториев, которые содержат вредоносный код под предлогом полезных утилит, таких как инструменты для автоматизации в Instagram или Telegram-боты для управления биткойнами.
Эти фальшивые проекты аккуратно оформлены, включая привлекательные README.md файлы и инструкции по компиляции, чем вводят в заблуждение пользователей. Для создания видимости активности злоумышленники периодически обновляют файлы, добавляя временные метки, и используют множество тегов, чтобы повысить доверие к своим репозиториям.
Поддельные проекты представлены на различных языках программирования, включая Python, JavaScript, C, C++ и C#, что делает их еще более разнообразными и заманчивыми для потенциальных жертв. Это подчеркивает необходимость осторожности при использовании открытого кода и тщательной проверки репозиториев перед их внедрением в свои проекты.
Как и ожидалось, в этих проектах не были реализованы заявленные функции, а код, в основном, выполнял бесполезные действия. Каждый проект оказался заражен вредоносным кодом, чье расположение варьировалось в зависимости от языка программирования.
Например, в проектах на Python злоумышленники вставляли вредоносный код в один из файлов, любая часть которого имела около двух тысяч символов табуляции, после чего шел код, отвечающий за расшифровку и выполнение Python-скрипта.
В проектах на JavaScript вредоносная функция создавалась и затем вызывалась из главного файла проекта. Эта функция использовала алгоритм декодирования Base64 для выполнения скрытого скрипта.
Злоумышленники, работающие с языками C, C++ и C#, прятали вредоносные элементы в файлах проектов Visual Studio, настраивая их на выполнение при сборке.
Важно отметить, что, несмотря на различия в языках программирования, назначение вредоносного кода было схожим — он предназначался для загрузки и выполнения дополнительных компонентов с репозитория GitHub, контролируемого злоумышленниками.
Например, упоминается стилер на Node.js, который может собирать различные данные, такие как сохраненные учетные записи, информация о криптовалютных кошельках и история посещенных страниц, и упаковывать их в архив.
Таким образом, проекты, которые должны были представлять собой полезные инструменты, на деле оказывались средством распространения вредоносного ПО.
В последнее время наблюдается рост атак на пользователей через вредоносные приложения, особенно используя платформы обмена кодом, такие как GitHub.
Одним из методов является использование перехватчиков буфера обмена, которые ищут адреса криптовалютных кошельков и заменяют их на свои собственные, контролируемые злоумышленниками. Это позволяет красть криптовалюту, что демонстрирует пример перевода 5 BTC на кошелек злоумышленников в ноябре 2024 года.
Исследования показывают, что кампания «GitVenom» использует поддельные проекты и затевает атаки, направленные на пользователей по всему миру, начиная с России и заканчивая Бразилией и Турцией.
Злоумышленники обманули многих, пользуясь популярностью некоторых репозиториев, и такой метод заражения оказался эффективным. Ожидается, что атаки продолжатся, и злоумышленники могут адаптировать свои тактики.
Важно помнить о рисках при работе с чужим кодом, поскольку это может привести к компрометации системы. Перед интеграцией любого стороннего кода в проект необходимо детально проверять его функциональность, чтобы избегать заражения и защитить свои разработки от вредоносного ПО.
