Кампания GitVenom: кража криптовалюты с помощью GitHub

security

Недавно обнаружена кампания GitVenom, в рамках которой злоумышленники создали сотни репозиториев на GitHub, содержащих поддельные проекты с вредоносным кодом.

Описание

Открытый код играет огромную роль в разработке программного обеспечения, предоставляя возможность разработчикам посмотреть и улучшить код проектов. Однако, с появлением большого количества проектов с открытым кодом, как правительства, так и киберпреступники начали использовать их в качестве приманки для заражения своих целей.

Поддельные проекты были очень качественно оформлены, включая информацию о проектах и инструкции по их компиляции. Злоумышленники также не забывали добавлять множество тегов и искусственно увеличивать количество сделанных коммитов. Вредоносный код в этих проектах был написан на разных языках программирования, включая Python, JavaScript, C, C++ и C#. В каждом проекте был внедрен вредоносный код, который выполнял бессмысленные действия.

Злоумышленники использовали разные методы для внедрения вредоносного кода. Например, в проектах на Python они добавляли длинную строку, за которой следовал код для расшифровки и выполнения скрипта. В JavaScript проектах была внедрена функция, которая декодировала скрипт из Base64 и выполняла его. В репозиториях, содержащих код на языках C, C++ и C#, злоумышленники спрятавали вредоносные пакетные скрипты в файлах проектов Visual Studio, чтобы они выполнялись во время сборки.

Целью таких вредоносных проектов было загрузить дополнительные вредоносные компоненты из контролируемого злоумышленниками репозитория на GitHub. Один из таких компонентов был Node.js-кража, собирающая информацию о сохраненных учетных данных, данных криптовалютного кошелька и истории просмотров. В целом, кампания GitVenom является примером того, как злоумышленники используют популярные репозитории с открытым кодом для распространения вредоносных программных компонентов.

Indicators of Compromise

MD5

  • 3684907e595cd04bf30b27d21580a7c6
  • 63739e000601afde38570bfb9c8ba589

SHA256

  • 06d0d13a4ce73775cf94a4a4f2314490de1d5b9af12db8ba9b01cd14222a2756
  • bd44a831ecf463756e106668ac877c6b66a2c0b954d13d6f311800e75e9c6678
Комментарии: 0