Gitvenom يهاجم إساءة استخدام مئات من github repos لسرقة التشفير

تستخدم حملة البرامج الضارة التي يطلق عليها Gitvenom مئات من مستودعات Github لخداع المستخدمين في تنزيل سرقة المعلومات ، وأحصنة أحصنة طروادة (الفئران) عن بُعد ، ومحطات الحافظة لسرقة تشفير وبيانات الاعتماد.

وفقًا لـ Kaspersky ، كان Gitvenom نشطًا لمدة عامين على الأقل ، حيث استهدف المستخدمون على مستوى العالم ولكن مع التركيز المرتفع على روسيا والبرازيل وتركيا.

“Over the course of the GitVenom campaign, the threat actors behind it have created hundreds of repositories on GitHub that contain fake projects with malicious code – for example, an automation instrument for interacting with Instagram accounts, a Telegram bot allowing to manage Bitcoin wallets, and a hacking tool for the video game Valorant,” يصف جورجي كوتشرين من Kaspersky.

يوضح الباحث أن المستودعات المزيفة مصممة بعناية ، والتي تتميز بالتفاصيل وملفات ReadMe المكتوبة بشكل مناسب ، على الأرجح بمساعدة أدوات الذكاء الاصطناعي.

علاوة على ذلك ، توظف ممثلو التهديدات حيلًا لتضخيم عدد الالتزامات المقدمة إلى تلك المستودعات بشكل مصطنع ، مما يخلق صورة مزيفة من النشاط العالي وزيادة المصداقية.

البرامج الضارة في مشاريع جيثب

كشف تحليل Kaspersky للمستودعات المتعددة التي تدعم حملة Gitvenom أن الكود الضار الذي تم حقنه في المشاريع مكتوب بلغات مختلفة ، بما في ذلك Python و JavaScript و C و C ++ و C#.

يُعتقد أن اللغات المختلفة تستخدم للتهرب من الكشف عن طريق أدوات أو أساليب مراجعة التعليمات البرمجية المحددة.

بمجرد تنفيذ الضحية الحمولة ، يقوم الرمز المحقون بتنزيل المرحلة الثانية من مستودع GitHub الذي يسيطر عليه المهاجم.

وجد Kaspersky الأدوات التالية المستخدمة في Gitvenom:

1. Node.JS Stealer – Infostealer الذي يستهدف بيانات الاعتماد المحفوظة ، ومعلومات محفظة العملة المشفرة ، وتاريخ التصفح. يضغط البيانات في أرشيف .7Z ويؤثر عليها عبر البرقية.
2. Asyncrat -الفئران المفتوحة المصدر التي تسمح بالتحكم عن بُعد ، والتشويش على الشاشة ، والتقاط الشاشة ، ومعالجة الملفات ، وتنفيذ الأوامر.
3. Quasar Backdoor -الفئران مفتوحة المصدر مع قدرات مماثلة لقدرات ASYNCRAT.
4. الحافظة الخاطفة -البرامج الضارة التي تراقب حافظة الضحية لعناوين محفظة العملة المشفرة وتستبدل أيًا بعنوان يسيطر عليه المهاجم ، وإعادة توجيه الأموال إلى المتسلل.

يسلط التقرير الضوء على حالة واحدة من نوفمبر 2024 عندما تلقت محفظة Bitcoin للمهاجم 5 BTC ، بقيمة نصف مليون دولار أمريكي.

البقاء في مأمن من هذه الحملة

على الرغم من البرامج الضارة”https://www.bleepingcomputer.com/news/security/over-3-000-github-accounts-used-by-malware-distribution-service/” الهدف=”_blank” rel=”nofollow noopener”> الاختباء في مستودعات جيثب تحت ستار البرامج العادية أو حتى”https://www.bleepingcomputer.com/news/security/fake-ldapnightmware-exploit-on-github-spreads-infostealer-malware/” الهدف=”_blank” rel=”nofollow noopener”> POC استغلال ليس جديدًا ، يثبت مدة Gitvenom وحجمها أن إساءة استخدام المنصة الشرعية لا تزال فعالة للغاية.

من الأهمية بمكان فحص مشروع PET بشكل شامل قبل استخدام أي من ملفاته عن طريق فحص محتويات المستودع ، ومسح الملفات باستخدام أدوات مكافحة الفيروسات ، وتنفيذ الملفات التي تم تنزيلها في بيئة معزولة.

تتضمن الأعلام الحمراء التعليمات البرمجية المفرطة ، والالتزامات الآلية غير العادية ، وملفات README مفصلة بشكل مفرط والتي تظهر تم إنشاؤها من الذكاء الاصطناعي.