„GitVenom“ kenkėjiška programa: apgaulinga grėsmė, slepiama atvirojo kodo projektuose

Apgaulingas GitVenom kenkėjiškos programos veidas

Kibernetiniai nusikaltėliai rado klastingą būdą išnaudoti pasitikėjimą atvirojo kodo platformomis, naudodami „GitHub“ , kad platintų kenkėjišką programinę įrangą, užmaskuotą kaip teisėtus projektus. Ši kampanija, pavadinta „GitVenom“, buvo skirta ir kriptovaliutų entuziastams, ir žaidėjams. Apsimesdami iš pažiūros naudinga programine įranga, užpuolikai sugebėjo pažeisti neskelbtiną informaciją ir finansinį turtą.

Tyrėjai susiejo „GitVenom“ su šimtais apgaulingų saugyklų, kur kenkėjiški veikėjai įkelia netikrus įrankius, kurie, atrodo, tarnauja įvairiems tikslams. Kai kurie iš jų apima „Instagram“ automatizavimo scenarijų, „Telegram“ robotą, teigiantį, kad nuotoliniu būdu valdo „Bitcoin“ pinigines, ir nulaužtą populiaraus žaidimo „Valorant“ versiją. Iš tikrųjų nė viena iš šių įrankių neveikia taip, kaip reklamuojama. Vietoj to, jie veikia kaip žalingo kodo, skirto vertingiems vartotojo duomenims išgauti, pristatymo mechanizmai.

Užpuolimo tikslai

Galutinis „GitVenom“ tikslas yra finansinė nauda. Platindami suklastotą programinę įrangą, užpuolikai sėkmingai pavogė asmeninius ir banko kredencialus, užgrobė kriptovaliutų operacijas ir perėmė užkrėstų sistemų kontrolę. Ataskaitos rodo, kad dėl operacijos buvo pavogti mažiausiai penki bitkoinai, kurių vertė siekia beveik pusę milijono dolerių.

Atrodo, kad kampanija buvo aktyvi mažiausiai dvejus metus, o dauguma infekcijų pastebėta tokiuose regionuose kaip Rusija, Brazilija ir Turkija. Šios atakos ilgaamžiškumas rodo, kad ji buvo pelninga jos operatoriams, todėl jie galėjo toliau tobulinti savo metodus, kad išvengtų aptikimo.

Kaip veikia „GitVenom“.

Kenkėjiškos saugyklos, susijusios su „GitVenom“, yra parašytos keliomis programavimo kalbomis, įskaitant Python, JavaScript, C, C++ ir C#. Nepaisant šių skirtumų, pagrindinis atakos metodas išlieka nuoseklus. Atsisiuntus programinė įranga vykdo naudingą apkrovą, kuri paima papildomų kenksmingų komponentų iš išorinės „GitHub“ saugyklos, kurią kontroliuoja užpuolikai.

Didelė kenkėjiškos programos funkcijų dalis yra susijusi su informacijos vagyste. Node.js pagrindu sukurtas infostealer modulis renka slaptažodžius, saugomus banko duomenis, kriptovaliutos piniginės kredencialus ir net naršyklės istorijas. Tada šie duomenys suglaudinami ir perduodami užpuolikams per telegramą – metodą, kurį dažniausiai naudoja kibernetiniai nusikaltėliai dėl savo šifravimo ir prieinamumo.

Kitas svarbus „GitVenom“ aspektas yra jo galimybė įdiegti nuotolinio administravimo įrankius, tokius kaip „AsyncRAT“ ir „Quasar RAT“. Šie įrankiai leidžia užpuolikams kontroliuoti užkrėstą sistemą, leidžiančią vykdyti komandas, manipuliuoti failais ir net stebėti vartotojo veiklą. Be to, „GitVenom“ gali užgrobti iškarpinę, pakeisdama nukopijuotus kriptovaliutų piniginės adresus tais, kurie priklauso užpuolikams. Ši subtili, bet veiksminga technika leidžia nusikaltėliams nukreipti skaitmeninį turtą aukai to nepastebėjus.

„GitVenom“ kampanijos pasekmės

Plačiai paplitęs „GitVenom“ poveikis pabrėžia riziką, susijusią su programinės įrangos atsisiuntimu iš nepatvirtintų šaltinių. Nors atvirojo kodo platformos, tokios kaip „GitHub“, kūrėjų bendruomenei teikia didžiulę vertę, jos taip pat yra galimi kibernetinių grėsmių vartai, kai jos nėra naudojamos atsargiai.

Vienas iš aktualiausių problemų yra kibernetinių nusikaltėlių gebėjimas nuolat vykdyti panašias kampanijas. Dėl atviro saugyklų pobūdžio sunku kontroliuoti kiekvieną įkėlimą, o tai reiškia, kad kenkėjiški projektai gali išlikti nepastebimi ilgą laiką. Kadangi „GitVenom“ jau daugiau nei dvejus metus įrodė savo gebėjimą apgauti vartotojus, tai pabrėžia, kad sunku pašalinti tokias grėsmes.

Be to, nuotolinio administravimo įrankių įtraukimas į šią kampaniją rodo, kad rizika apima ne tik finansines vagystes. Įgydami pažeistų įrenginių kontrolę, užpuolikai gali vykdyti stebėjimą, įdiegti papildomų grėsmių arba naudoti užkrėstas sistemas kaip didesnio robotų tinklo dalį.

Atsargiai svarbu tvarkyti atvirojo kodo kodą

Kadangi tokios platformos kaip „GitHub“ tebėra pagrindinė programinės įrangos kūrimo dalis, reikia būti budriems, kad netaptume apgaulingų projektų aukomis. Kibernetinio saugumo ekspertai pabrėžia, kad svarbu atidžiai patikrinti trečiosios šalies kodą prieš jį vykdant. Kūrėjai ir vartotojai turėtų patikrinti saugyklų patikimumą, peržiūrėti kodą, ar nėra nukrypimų, ir vengti atsisiųsti vykdomųjų failų iš nežinomų šaltinių.

Be to, nuolatinis informavimas apie kylančias grėsmes gali žymiai sumažinti pavojų. Suprasdami, kaip veikia „GitVenom“ ir panašios kampanijos, vartotojai gali pritaikyti geresnę saugumo praktiką sąveikaudami su atvirojo kodo programine įranga.

Kibernetiniams nusikaltėliams ir toliau tobulinant savo metodus, sąmoningumas ir atsargumas išlieka geriausia apsauga nuo apgaulingų grėsmių, tokių kaip „GitVenom“. Kol atvirojo kodo platformomis piktnaudžiaujama, naudotojai turi aktyviai saugoti savo duomenis ir skaitmeninį turtą.