Эксперты Kaspersky GReAT выявили на GitHub множество репозиториев с вредоносным ПО, маскирующимся под проекты с открытым исходным кодом в рамках кампании под названием «GitVenom». Злоумышленники используют такие уловки, как создание Telegram-ботов для управления криптовалютными кошельками, автоматизации Instagram или читов для игр, чтобы украсть конфиденциальные данные и денежные средства.
Наибольшее число жертв зафиксировано в России, Турции и Бразилии, а всего обнаружено более 200 репозиториев с зараженными пакетами. Для привлечения внимания потенциальных жертв злоумышленники применяют привлекательные описания, созданные, вероятно, с помощью нейросетей, добавляя множество тегов и искусственно увеличивая количество коммитов с помощью временных меток.
При этом код репозиториев не выполняет заявленных функций, а устанавливает разные виды малвари, такие как стилер на Node.js, троян AsyncRAT и бэкдор Quasar. Это позволяет злоумышленникам удаленно следить за действиями пользователей и похищать такие данные, как пароли и платежные реквизиты.
Среди других вредоносных программ, которые устанавливаются в ходе кампании, выделяется клиппер, способный подменять адреса криптокошельков в буфере обмена. Анализ показал, что в ноябре 2024 года злоумышленникам удалось перевести около 5 биткоинов, что на тот момент составляло порядка 485 000 долларов.
