" Хакеры создают сотни фейковых проектов GitHub, чтобы обманом заставить пользователей загрузить вредоносное ПО для кражи учетных данных и криптовалют, сообщает компания по кибербезопасности Kaspersky.
Аналитик Kaspersky Георгий Кучерин сказал в отчете от 24 февраля, что вредоносная кампания, которую компания окрестила «GitVenom», привела к тому, что хакеры создали сотни репозиториев на GitHub, размещающих фейковые проекты, которые содержат трояны удаленного доступа (RAT), похитители информации и перехватчики буфера обмена.
Некоторые из фейковых проектов включают бот Telegram, который управляет кошельками Bitcoin, и инструмент для автоматизации взаимодействия с аккаунтами Instagram.
Кучерин добавил, что создатели вредоносного ПО «приложили все усилия», чтобы проекты выглядели легитимными, включив «хорошо продуманную» информацию и файлы инструкций, которые «возможно, были созданы с использованием инструментов ИИ».
Те, кто стоит за вредоносными проектами, также искусственно завышали количество «коммитов» или изменений в проекте, а также добавляли несколько ссылок на конкретные изменения, чтобы создать видимость того, что проект активно улучшается.
«Для этого они поместили в эти репозитории файл с меткой времени, который обновлялся каждые несколько минут», — говорится в отчете.
Примером является «хорошо продуманный» файл инструкций, включенный в то, что выглядит как игра на ставки. Источник: Kaspersky.
«Очевидно, что при разработке этих фейковых проектов злоумышленники приложили все усилия, чтобы репозитории казались легитимными для потенциальных целей», — сказал Кучерин в отчете.
Проекты не реализовали функции, обсуждаемые в файлах инструкций и объяснений, и Касперский обнаружил, что они в основном «выполняли бессмысленные действия».
В ходе расследования «Лаборатория Касперского» обнаружила несколько фейковых проектов, которым не менее двух лет, и предположила, что «вектор заражения, вероятно, весьма эффективен», поскольку хакеры уже довольно давно обманывают жертв.
Независимо от того, как фейковый проект себя представляет, Кучерин сказал, что все они имеют «вредоносные полезные нагрузки», которые загружают компоненты, такие как похититель информации, который берет сохраненные учетные данные, данные криптовалютного кошелька и историю просмотров и загружает их хакерам через Telegram.
Другой вредоносный компонент использует перехватчик буфера обмена, который ищет адреса криптовалютных кошельков и заменяет их на контролируемые злоумышленником.
Кучерин сказал, что эти вредоносные приложения заманили в ловушку по крайней мере одного пользователя в ноябре, когда контролируемый хакером кошелек получил 5 BTC, что в настоящее время составляет около 442 000 долларов США.
Вредоносная программа собирает информацию, такую как сохраненные учетные данные, данные криптовалютного кошелька и историю просмотров, а затем загружает ее хакерам через Telegram. Источник: Kaspersky
Кампания GitVenom наблюдается во всем мире, но, по словам Kaspersky, она в большей степени нацелена на заражение пользователей из России, Бразилии и Турции.
Кучерин говорит, что, поскольку платформы обмена кодами, такие как GitHub, используются миллионами разработчиков по всему миру, злоумышленники продолжат использовать поддельное ПО в качестве приманки для заражения.
Он посоветовал перед загрузкой проверить, какие действия выполняет любой сторонний код.
Кучерин добавил, что компания ожидает, что злоумышленники продолжат публиковать вредоносные проекты, но «возможно, с небольшими изменениями» в своей тактике, методах и процедурах.
