Kaspersky: Κρυφό κακόβουλο λογισμικό έκλεψε προσωπικά δεδομένα και 485.000 δολάρια σε Bitcoin στο GitHub

Η Παγκόσμια Ομάδα Έρευνας & Ανάλυσης της Kaspersky (GReAT) ανακάλυψε εκατοντάδες αποθετήρια ανοιχτού κώδικα με κακόβουλο λογισμικό πολλαπλών σταδίων που στοχεύουν gamers και cryptoinvestors στο πλαίσιο μιας νέας εκστρατείας που ονομάστηκε από την Kaspersky ως GitVenom. Τα μολυσμένα έργα περιλαμβάνουν ένα εργαλείο αυτοματισμού για αλληλεπίδραση με λογαριασμούς Instagram, ένα Telegram bot που επιτρέπει την απομακρυσμένη διαχείριση πορτοφολιών Bitcoin και ένα εργαλείο crack για το παιχνίδι Valorant.

Όλη αυτή η υποτιθέμενη λειτουργικότητα του project ήταν ψεύτικη και οι κυβερνοεγκληματίες πίσω από την εκστρατεία έκλεψαν προσωπικά και τραπεζικά δεδομένα, καταλαμβάνοντας διευθύνσεις κρυπτογράφησης από τη μνήμη του υπολογιστή χωρίς τη συναίνεση των ιδιοκτητών. Ως αποτέλεσμα της κακόβουλης δραστηριότητας, οι κυβερνοεγκληματίες κατάφεραν να κλέψουν 5 Bitcoin (περίπου 485.000 δολάρια κατά τη στιγμή της έρευνας). Η Kaspersky ανίχνευσε τη χρήση των μολυσμένων αποθετηρίων παγκοσμίως, με τις περισσότερες περιπτώσεις στη Βραζιλία, την Τουρκία και τη Ρωσία.

Αποθήκευση στο GitHub

Αυτά τα αποθετήρια έχουν αποθηκευτεί στο GitHub, μια πλατφόρμα που επιτρέπει στους προγραμματιστές να διαχειρίζονται και να μοιράζονται τον κώδικά τους, για αρκετά χρόνια. Οι επιτιθέμενοι προσπάθησαν να κάνουν τα αποθετήρια στο GitHub να φαίνονται νόμιμα σε πιθανούς στόχους χρησιμοποιώντας ελκυστικές περιγραφές έργων που πιθανότατα έχουν δημιουργηθεί με AI. Εάν ξεκινήσει ο κώδικας από αυτά τα αποθετήρια, η συσκευή του θύματος θα μολυνθεί με κακόβουλο λογισμικό και θα μπορέσει να ελεγχθεί εξ αποστάσεως από τους επιτιθέμενους.

Ενώ τα έργα γράφτηκαν σε πολλές γλώσσες προγραμματισμού – Python, JavaScript, C, C++ και C# – τα κακόβουλα ωφέλιμα φορτία που ήταν αποθηκευμένα μέσα στα μολυσμένα έργα είχαν τον ίδιο στόχο: να κατεβάσουν άλλα κακόβουλα στοιχεία από ένα αποθετήριο GitHub που ελέγχεται από εισβολείς και να τα εκτελέσουν. Αυτά τα στοιχεία περιλαμβάνουν ένα stealer που συλλέγει κωδικούς πρόσβασης, πληροφορίες τραπεζικού λογαριασμού, αποθηκευμένα διαπιστευτήρια, δεδομένα πορτοφολιού κρυπτονομισμάτων και ιστορικό περιήγησης, τα πακετάρει σε ένα αρχείο .7z και τα ανεβάζει σε εισβολείς μέσω Telegram.

Δομή του αρχείου που στέλνει το stealer στους επιτιθέμενους

Άλλα ληφθέντα κακόβουλα στοιχεία περιλαμβάνουν εργαλεία απομακρυσμένης διαχείρισης που μπορούν να χρησιμοποιηθούν για την απομακρυσμένη παρακολούθηση και τον έλεγχο του υπολογιστή ενός θύματος μέσω ασφαλούς κρυπτογραφημένης σύνδεσης και ένα clipboard hijacker που αναζητά τα περιεχόμενα του clipboard για διευθύνσεις πορτοφολιού κρυπτονομισμάτων και τα αντικαθιστά με διευθύνσεις που ελέγχονται από εισβολείς. Συγκεκριμένα, το πορτοφόλι Bitcoin που ελέγχεται από εισβολέα έλαβε ένα ποσό περίπου 5 BTC (περίπου 485.000 $ κατά τη στιγμή της έρευνας) τον Νοέμβριο του 2024.

«Καθώς οι πλατφόρμες κοινής χρήσης κώδικα όπως το GitHub χρησιμοποιούνται από εκατομμύρια προγραμματιστές παγκοσμίως, οι φορείς απειλής σίγουρα θα συνεχίσουν να χρησιμοποιούν ψεύτικο λογισμικό ως δέλεαρ μόλυνσης στο μέλλον. Για τον λόγο αυτό, είναι σημαντικό να χειρίζεστε πολύ προσεκτικά την επεξεργασία κώδικα από τρίτους παρόχους. Πριν επιχειρήσετε να εκτελέσετε έναν τέτοιο κώδικα ή να τον ενσωματώσετε σε ένα υπάρχον έργο, είναι υψίστης σημασίας να ελέγξετε διεξοδικά ποιες ενέργειες εκτελούνται από αυτόν. Με αυτόν τον τρόπο, θα είναι πολύ εύκολο να εντοπίσετε ψεύτικα έργα και να αποτρέψετε τη χρήση κακόβουλου κώδικα που τοποθετείται σε αυτά για να θέσει σε κίνδυνο το περιβάλλον ανάπτυξης», σχολιάζει ο Georgy Kucherin, Security Researcher στο Kaspersky GReAT.

Σχετικά με την Kaspersky

Η Kaspersky είναι μια παγκόσμια εταιρεία ψηφιακής ασφάλειας με έτος ίδρυσης το 1997. Η βαθιά πληροφόρηση απειλών και η τεχνογνωσία στον τομέα της ασφάλειας της Kaspersky μετατρέπονται συνεχώς σε λύσεις και υπηρεσίες ασφάλειας για την προστασία επιχειρήσεων, κρίσιμων υποδομών, κυβερνήσεων και καταναλωτών σε όλον τον κόσμο. Το ολοκληρωμένο χαρτοφυλάκιο ασφάλειας της εταιρείας περιλαμβάνει την προστασία τερματικών σημείων και μια σειρά εξειδικευμένων λύσεων και υπηρεσιών ασφάλειας για την καταπολέμηση εξελιγμένων και εξελισσόμενων ψηφιακών απειλών. Περισσότεροι από 400 εκατομμύρια χρήστες προστατεύονται από τις τεχνολογίες της Kaspersky και βοηθάμε 220.000 εταιρικούς πελάτες να προστατεύουν ό,τι είναι πιο σημαντικό για αυτούς. Μάθετε περισσότερα στο www.kaspersky.com.