GitVenom 惡意軟體：隱藏在開源專案中的欺騙性威脅

GitVenom 惡意軟體的欺騙性臉孔

網路犯罪分子找到了一種利用對開源平台的信任的陰險方法，即使用GitHub來分發偽裝成合法專案的惡意軟體。據稱，這項活動被稱為 GitVenom，其目標客戶是加密貨幣愛好者和遊戲玩家。透過偽裝成看似有用的軟體，攻擊者成功竊取了敏感資訊和金融資產。

研究人員已將 GitVenom 與數百個欺騙性儲存庫連結起來，惡意行為者在這些儲存庫中上傳看似用於各種目的的虛假工具。其中包括 Instagram 自動化腳本、聲稱可以遠端管理比特幣錢包的 Telegram 機器人，以及流行遊戲 Valorant 的破解版。事實上，這些工具都沒有像廣告中所說的那麼有效。相反，它們充當了有害程式碼的傳遞機制，旨在提取有價值的用戶資料。

襲擊背後的目標

GitVenom 的最終目標是經濟利益。透過分發假冒軟體，攻擊者成功竊取個人和銀行憑證、劫持加密貨幣交易並控制受感染的系統。報導稱，這項行動導致至少 5 個比特幣被盜，價值近 50 萬美元。

該活動似乎已活躍至少兩年，大多數感染發生在俄羅斯、巴西和土耳其等地區。這次攻擊持續的時間表明，它為運營商帶來了豐厚的利潤，使他們能夠繼續改進技術以逃避檢測。

GitVenom 的運作方式

與 GitVenom 相關的惡意儲存庫採用多種程式語言編寫，包括 Python、JavaScript、C、C++ 和 C#。儘管存在這些變化，但核心攻擊方法仍然保持一致。下載後，軟體會執行有效負載，從攻擊者控制的外部 GitHub 儲存庫中取得其他有害元件。

該惡意軟體的大部分功能都與竊取資訊有關。基於 Node.js 的資訊竊取模組收集密碼、儲存的銀行詳細資料、加密貨幣錢包憑證甚至瀏覽器歷史記錄。然後，這些資料被壓縮並透過 Telegram 傳輸給攻擊者，這種方法由於其加密性和可訪問性而被網路犯罪分子廣泛使用。

GitVenom 的另一個令人擔憂的方面是它能夠部署遠端管理工具，例如 AsyncRAT 和 Quasar RAT。這些工具允許攻擊者控制受感染的系統，使他們能夠執行命令，操縱文件，甚至監視使用者活動。此外，GitVenom 還能夠劫持剪貼簿，將複製的加密貨幣錢包位址替換為攻擊者的位址。這種微妙但有效的技術使犯罪分子能夠在受害者不知情的情況下轉移數位資產。

GitVenom 活動的影響

GitVenom 的廣泛影響凸顯了從未經驗證的來源下載軟體的風險。雖然 GitHub 等開源平台為開發者社群提供了巨大的價值，但如果使用不當，它們也可能成為網路威脅的潛在入口網站。

最迫切的問題之一是網路犯罪分子不斷發起類似活動的能力。儲存庫的開放特性使其對每次上傳的監管都極具挑戰性，這意味著惡意專案可能會在很長一段時間內不被發現。由於 GitVenom 已經證明了其在兩年多時間內欺騙用戶的能力，這凸顯了消除此類威脅的難度。

此外，此次活動中加入遠端管理工具顯示風險不僅限於金融竊盜。透過控制受感染的設備，攻擊者可以進行監視，部署其他威脅，或將受感染的系統用作更大的殭屍網路的一部分。

處理開源程式碼時謹慎是關鍵

由於 GitHub 等平台仍然是軟體開發中的主要內容，因此必須保持警惕，以防止成為欺騙性專案的受害者。網路安全專家強調在執行第三方程式碼之前仔細檢查的重要性。開發人員和使用者都應該驗證儲存庫的可信度，檢查程式碼是否有異常，並避免從未知來源下載可執行檔。

此外，隨時了解新出現的威脅可以大大降低風險。透過了解 GitVenom 和類似活動的運作方式，使用者可以在與開源軟體互動時採取更好的安全措施。

隨著網路犯罪分子不斷改進其技術，意識和謹慎仍然是抵禦 GitVenom 等欺騙性威脅的最佳防禦手段。只要開源平台被惡意濫用，用戶就必須主動保護自己的資料和數位資產。