GitVenom 恶意软件：隐藏在开源项目中的欺骗性威胁

GitVenom 恶意软件的欺骗性面孔

网络犯罪分子找到了一种利用人们对开源平台的信任的阴险方法，即使用GitHub分发伪装成合法项目的恶意软件。据观察，这一活动被称为 GitVenom，针对加密货币爱好者和游戏玩家。通过伪装成看似有用的软件，攻击者成功窃取了敏感信息和金融资产。

研究人员已将 GitVenom 与数百个欺骗性存储库联系起来，恶意行为者在这些存储库中上传看似用于各种目的的虚假工具。其中包括 Instagram 自动化脚本、声称可以远程管理比特币钱包的 Telegram 机器人以及流行游戏 Valorant 的破解版。实际上，这些工具都没有像宣传的那样发挥作用。相反，它们充当了有害代码的传递机制，旨在窃取有价值的用户数据。

攻击背后的目标

GitVenom 的最终目标是获取经济利益。通过分发假冒软件，攻击者成功窃取了个人和银行凭证、劫持了加密货币交易并控制了受感染的系统。报告显示，该行动导致至少 5 个比特币被盗，价值近 50 万美元。

该活动似乎已经活跃了至少两年，大多数感染发生在俄罗斯、巴西和土耳其等地区。这次攻击持续的时间表明，它为运营商带来了丰厚的利润，使他们能够继续改进他们的技术以逃避检测。

GitVenom 的运作方式

与 GitVenom 相关的恶意存储库使用多种编程语言编写，包括 Python、JavaScript、C、C++ 和 C#。尽管存在这些变化，但核心攻击方法仍然保持一致。下载后，该软件会执行有效负载，从攻击者控制的外部 GitHub 存储库中获取其他有害组件。

该恶意软件的大部分功能都围绕着窃取信息。基于 Node.js 的信息窃取模块会收集密码、存储的银行详细信息、加密货币钱包凭证甚至浏览器历史记录。然后，这些数据被压缩并通过 Telegram 传输给攻击者，这种方法由于其加密性和可访问性而被网络犯罪分子广泛使用。

GitVenom 的另一个令人担忧的方面是它能够部署远程管理工具，例如 AsyncRAT 和 Quasar RAT。这些工具允许攻击者控制受感染的系统，使他们能够执行命令、操纵文件，甚至监视用户活动。此外，GitVenom 还能够劫持剪贴板，将复制的加密货币钱包地址替换为攻击者的地址。这种微妙而有效的技术使犯罪分子能够在受害者不知情的情况下重定向数字资产。

GitVenom 活动的影响

GitVenom 的广泛影响凸显了从未经验证的来源下载软件的风险。虽然 GitHub 等开源平台为开发者社区提供了巨大的价值，但如果使用不当，它们也会成为网络威胁的潜在入口。

最紧迫的问题之一是网络犯罪分子不断发起类似活动的能力。存储库的开放性使得监管每一次上传都具有挑战性，这意味着恶意项目可能会长期存在而不被发现。由于 GitVenom 已经展示了其欺骗用户超过两年的能力，它凸显了消除此类威胁的难度。

此外，此次攻击活动中远程管理工具的加入表明风险不仅限于金融盗窃。通过控制受感染的设备，攻击者可以进行监视、部署其他威胁或将受感染的系统用作大型僵尸网络的一部分。

处理开源代码时谨慎是关键

由于 GitHub 等平台仍然是软件开发中的重要部分，因此必须保持警惕，以防止成为欺骗性项目的受害者。网络安全专家强调在执行第三方代码之前仔细检查的重要性。开发人员和用户都应该验证存储库的可信度，检查代码是否存在异常，并避免从未知来源下载可执行文件。

此外，及时了解新出现的威胁可以大大降低风险。通过了解 GitVenom 和类似活动的运作方式，用户可以在与开源软件交互时采取更好的安全措施。

随着网络犯罪分子的技术不断改进，提高意识和谨慎仍然是抵御 GitVenom 等欺骗性威胁的最佳方法。只要开源平台被恶意滥用，用户就必须积极主动地保护其数据和数字资产。