Согласно отчету «Лаборатории Касперского», хакеры используют GitHub для кражи криптовалют с помощью создания фейковых проектов по разработке ПО и ботов. В отчете пользователей предупреждают о кампании GitVenom, которая действует уже не менее двух лет, включающей размещение вредоносного кода в отдельных проектах на популярной среди разработчиков платформе.
Атака осуществляется с помощью создания фейковых проектов, в которых хакеры приглашают присоединиться к разработке Telegram-ботов для управления биткоин-кошельками или инструментов для компьютерных игр.
Для создания видимости легитимности такие проекты сопровождаются файлом README, который зачастую может быть сгенерирован с помощью ИИ. В свою очередь сам код якобы реального проекта на Python или JavaScript является троянским вирусом.
Если разработчик скачивает вредоносное ПО, оно запускает ряд других программ для совершения эксплойта, которые собирают пароли и данные криптокошелька, а также историю просмотра, объединяют их и отправляют в Telegram.
Трояны удаленного доступа, такие как AsyncRAT и Quasar, захватывают устройство жертвы, регистрируя нажатия клавиш и делая снимки экрана.
Программы типа клиппер, работающие с буфером обмена, меняют скопированные адреса кошельков на адреса хакеров, перенаправляя средства. Как выяснили аналитики лаборатории, один такой кошелек в ноябре позволил хакерам заработать 5 BTC, что на тот момент оценивалось в $485 000.
По словам экспертов, кампания GitVenom сильнее всего ударила по пользователям из России, Бразилии и Турции, хотя она работает по всему миру.
Пользователей призвали тщательно изучать любой код перед его запуском, проверяя подлинность проекта и файлов README или непоследовательным историям коммитов.
Исследователи полагают, что эти атаки продолжатся в ближайшее время.
