هشدار GitVenom: صدها پروژه جعلی GitHub در کمین کاربران کریپتو

هکرها با پروژه‌های جعلی GitHub به دنبال سرقت رمزارز هستند: Kaspersky

هکرها در حال ایجاد صدها پروژه جعلی در GitHub هستند تا کاربران را به دانلود بدافزارهای سرقت رمزارز و اطلاعات کاربری فریب دهند. شرکت امنیت سایبری Kaspersky این موضوع را گزارش کرده است.

جورجی کوچرین، تحلیلگر Kaspersky، در گزارش ۲۴ فوریه خود اعلام کرد که این کمپین بدافزاری که شرکت آن را "GitVenom" نامیده است، شامل ایجاد صدها مخزن در GitHub توسط هکرها می‌شود که پروژه‌های جعلی حاوی تروجان‌های دسترسی از راه دور (RAT)، ابزارهای سرقت اطلاعات و ربایندگان کلیپ‌بورد را میزبانی می‌کنند.

برخی از پروژه‌های جعلی شامل یک ربات تلگرام برای مدیریت کیف پول‌های بیت کوین و ابزاری برای خودکارسازی تعاملات حساب‌های اینستاگرام هستند. کوچرین افزود که سازندگان بدافزار "تلاش زیادی" کرده‌اند تا این پروژه‌ها را قانونی جلوه دهند، با استفاده از فایل‌های اطلاعات و دستورالعمل‌های "خوب طراحی شده" که "احتمالاً با استفاده از ابزارهای هوش مصنوعی تولید شده‌اند".

افراد پشت این پروژه‌های مخرب همچنین تعداد "commit"ها یا تغییرات پروژه را به‌طور مصنوعی افزایش داده‌اند و چندین ارجاع به تغییرات خاص اضافه کرده‌اند تا نشان دهند که پروژه به‌طور فعال در حال بهبود است. "برای انجام این کار، آنها یک فایل نشانگر زمان را در این مخازن قرار دادند که هر چند دقیقه یک‌بار به‌روزرسانی می‌شد."

کوچرین در گزارش خود گفت: "واضح است که در طراحی این پروژه‌های جعلی، عوامل تهدید تلاش زیادی کرده‌اند تا مخازن را برای اهداف بالقوه قانونی جلوه دهند." پروژه‌ها ویژگی‌های مورد بحث در فایل‌های راهنما و توضیحات را پیاده‌سازی نکرده‌اند و Kaspersky دریافته است که آنها عمدتاً "اقدامات بی‌معنی" انجام می‌دهند.

در طول تحقیقات خود، Kaspersky چندین پروژه جعلی را که حداقل به دو سال قبل برمی‌گردند، شناسایی کرده و حدس می‌زند که "بردار آلودگی احتمالاً بسیار کارآمد است" زیرا هکرها مدت زیادی است که قربانیان را جذب می‌کنند.

صرف‌نظر از نحوه ارائه پروژه جعلی، کوچرین گفت که همه آنها دارای "بارهای مخرب" هستند که اجزایی مانند یک ابزار سرقت اطلاعات را دانلود می‌کنند که اعتبار ذخیره‌شده، داده‌های کیف پول رمزارز و تاریخچه مرور را می‌گیرد و آنها را از طریق تلگرام به هکرها ارسال می‌کند. یک جزء مخرب دیگر از یک رباینده کلیپ‌بورد استفاده می‌کند که آدرس‌های کیف پول رمزارز را جستجو کرده و آنها را با آدرس‌های تحت کنترل مهاجم جایگزین می‌کند.

کوچرین گفت که این برنامه‌های مخرب حداقل یک کاربر را در نوامبر گرفتار کرده‌اند، زمانی که یک کیف پول تحت کنترل هکر ۵ بیت کوین (BTC) دریافت کرد که در حال حاضر حدود ۴۴۲,۰۰۰ دلار ارزش دارد.

کمپین GitVenom در سراسر جهان مشاهده شده است، اما تمرکز بیشتری بر آلوده کردن کاربران از روسیه، برزیل و ترکیه دارد. کوچرین می‌گوید که از آنجا که پلتفرم‌های اشتراک‌گذاری کد مانند GitHub توسط میلیون‌ها توسعه‌دهنده در سراسر جهان استفاده می‌شوند، عوامل تهدید به استفاده از نرم‌افزارهای جعلی به‌عنوان یک طعمه آلودگی ادامه خواهند داد.

او توصیه کرد که بررسی اقدامات هر کد شخص ثالث قبل از دانلود ضروری است. کوچرین افزود که شرکت انتظار دارد مهاجمان به انتشار پروژه‌های مخرب ادامه دهند، اما "احتمالاً با تغییرات جزئی" در تاکتیک‌ها، تکنیک‌ها و روش‌های خود.