Мы обнаружили в GitHub более 200 репозиториев с поддельными проектами. С их помощью злоумышленники распространяют стилеры, клиперы и бэкдоры.
Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами, и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными) они просто берут уже готовый велосипед код из открытого репозитория в GitHub.
Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный, самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много, и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.
Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках
Еще один признак легитимности репозиториев — большое количество коммитов. В репозиториях злоумышленников их очень много — десятки тысяч. Разумеется, они не обновляли для правдоподобности каждый из двух сотен репозиториев, а попросту поместили в них файлы с временными метками, которые обновлялись каждые несколько минут. Но сочетание хорошо проработанной документации и множества коммитов создает у разработчиков иллюзию, что с кодом тут все в порядке и его абсолютно безопасно использовать.
Что касается функциональности поддельного кода, то описанные в файле-инструкции возможности реализованы не были — в реальности код не делает и половины заявленного. Но «благодаря» ему на компьютерах жертв оказываются вредоносные компоненты из репозитория злоумышленников на GitHub.
Вопрос только в том, как именно они будут это делать, — еще десять лет назад никто не догадывался, что атакующим удастся вести кампании вроде GitVenom так долго и упорно. Поэтому каждому разработчику необходимо соблюдать правила кибергигиены при работе с GitHub.
Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами, и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными) они просто берут уже готовый велосипед код из открытого репозитория в GitHub.
Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный, самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много, и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.
Что такое GitVenom
Так мы назвали вредоносную кампанию, в ходе которой неизвестными были созданы более 200 репозиториев, содержащих фейковые проекты с вредоносным кодом: боты для Telegram, инструменты для взлома игры Valorant, автоматизации действий в Instagram и управления кошельками Bitcoin. На первый взгляд все репозитории выглядят легитимно, особенно выделяется хорошо оформленный файл-гайд по работе с кодом README.MD с подробными инструкциями на нескольких языках мира.Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках
Еще один признак легитимности репозиториев — большое количество коммитов. В репозиториях злоумышленников их очень много — десятки тысяч. Разумеется, они не обновляли для правдоподобности каждый из двух сотен репозиториев, а попросту поместили в них файлы с временными метками, которые обновлялись каждые несколько минут. Но сочетание хорошо проработанной документации и множества коммитов создает у разработчиков иллюзию, что с кодом тут все в порядке и его абсолютно безопасно использовать.
GitVenom активен как минимум два года
Кампания была запущена уже давно: самому старому из обнаруженных нами поддельных репозиториев около двух лет. За это время жертвами GitVenom стали разработчики из России, Бразилии, Турции и других стран. Злоумышленники охватили широкий спектр языков программирования: вредоносный код был обнаружен в репозиториях на Python, JavaScript, C, C# и C++.Что касается функциональности поддельного кода, то описанные в файле-инструкции возможности реализованы не были — в реальности код не делает и половины заявленного. Но «благодаря» ему на компьютерах жертв оказываются вредоносные компоненты из репозитория злоумышленников на GitHub.
- Node.js — , который собирает логины и пароли, данные криптовалютных кошельков, историю просмотров браузера, упаковывает украденные данные в архив .7z и отправляет злоумышленникам через Telegram.
- AsyncRAT — устройства жертвы с открытым исходным кодом, который может работать в том числе и как кейлоггер.
- Quasar — с открытым исходным кодом.
- Клиппер, который ищет в содержимом буфера обмена адреса криптовалютных кошельков и заменяет их на контролируемые злоумышленниками. Примечательно, что в ноябре 2024 года на используемый в этой атаке хакерский кошелек одномоментно упало около пяти биткойнов (примерно $485 000 долларов США на момент исследования).
Как защититься от вредоносного кода на GitHub
Если коротко, то лучший способ защиты — внимательность. Поскольку , злоумышленники наверняка продолжат распространять вредоносный код с помощью этой популярной платформы.Вопрос только в том, как именно они будут это делать, — еще десять лет назад никто не догадывался, что атакующим удастся вести кампании вроде GitVenom так долго и упорно. Поэтому каждому разработчику необходимо соблюдать правила кибергигиены при работе с GitHub.
- Анализируйте код прежде, чем интегрировать его в существующий проект.
- Используйте защиту от вредоносного ПО на компьютерах и смартфонах.
- Тщательно проверяйте косвенные признаки: аккаунты контрибьюторов, количество звезд (лайков), дату создания. Скорее всего, если аккаунт создан три дня назад, репозиторий — два, а красуется там одна звезда, то с большой долей вероятности можно сказать, что внутри будет вредоносный код.
- Не скачивайте файлы по прямым ссылкам на GitHub, которые опубликованы в чатах, подозрительных каналах или непроверенных сайтах.
- При обнаружении подозрительного репозитория, сообщите в GitHub — это может спасти несколько чужих устройств без надежной защиты.
