Кампания GitVenom: кража криптовалюты с помощью GitHub

Недавно обнаружена кампания GitVenom, в рамках которой злоумышленники создали сотни репозиториев на GitHub, содержащих поддельные проекты с вредоносным кодом.

Описание

Открытый код играет огромную роль в разработке программного обеспечения, предоставляя возможность разработчикам посмотреть и улучшить код проектов. Однако, с появлением большого количества проектов с открытым кодом, как правительства, так и киберпреступники начали использовать их в качестве приманки для заражения своих целей.

Поддельные проекты были очень качественно оформлены, включая информацию о проектах и инструкции по их компиляции. Злоумышленники также не забывали добавлять множество тегов и искусственно увеличивать количество сделанных коммитов. Вредоносный код в этих проектах был написан на разных языках программирования, включая Python, JavaScript, C, C++ и C#. В каждом проекте был внедрен вредоносный код, который выполнял бессмысленные действия.

Злоумышленники использовали разные методы для внедрения вредоносного кода. Например, в проектах на Python они добавляли длинную строку, за которой следовал код для расшифровки и выполнения скрипта. В JavaScript проектах была внедрена функция, которая декодировала скрипт из Base64 и выполняла его. В репозиториях, содержащих код на языках C, C++ и C#, злоумышленники спрятавали вредоносные пакетные скрипты в файлах проектов Visual Studio, чтобы они выполнялись во время сборки.

Целью таких вредоносных проектов было загрузить дополнительные вредоносные компоненты из контролируемого злоумышленниками репозитория на GitHub. Один из таких компонентов был Node.js-кража, собирающая информацию о сохраненных учетных данных, данных криптовалютного кошелька и истории просмотров. В целом, кампания GitVenom является примером того, как злоумышленники используют популярные репозитории с открытым кодом для распространения вредоносных программных компонентов.

Кампания GitVenom: кража криптовалюты с помощью GitHub

Описание

Indicators of Compromise

MD5

SHA256