O código do GitHub que você usa para criar um aplicativo da moda ou patch bugs existentes pode ser usado apenas para roubar seu Bitcoin (BTC) ou outras capitões de criptografia, de acordo com um relatório da Kaspersky.
O GitHub é uma ferramenta popular entre desenvolvedores de todos os tipos, mas ainda mais entre os projetos focados em criptografia, onde um aplicativo simples pode gerar milhões de dólares em receita.
O relatório alertou os usuários de uma campanha “Gitvenom” que atua há pelo menos dois anos, mas está em constante aumento, envolvendo o plantio de código malicioso em projetos falsos na popular plataforma de repositório de código.
O ataque começa com projetos aparentemente legítimos do Github – como fazer bots de telegrama para gerenciar carteiras ou ferramentas de bitcoin para jogos de computador.
Cada um vem com um arquivo de leitura polido, geralmente gerado pela IA, para criar confiança. Mas o código em si é um cavalo de Trojan: para projetos baseados em Python, os invasores escondem o roteiro nefasto após uma sequência bizarra de 2.000 guias, que descriptografa e executa uma carga útil maliciosa.
Para JavaScript, uma função desonesta é incorporada no arquivo principal, acionando o ataque de lançamento. Uma vez ativado, o malware extrai ferramentas adicionais de um repositório GitHub controlado por hackers separado.
(Uma guia organiza código, tornando -o legível alinhando as linhas. A carga útil é a parte central de um programa que faz o trabalho real – ou danos, no caso de malware.)
Depois que o sistema é infectado, vários outros programas entram para executar a exploração. Um ladrão Node.js colhe senhas, detalhes da carteira de criptografia e histórico de navegação, depois pacotes e os envia via telegrama. Trojans de acesso remoto como Asyncrat e Quasar assumem o dispositivo da vítima, com teclas de log e capturando capturas de tela.
Um “Clipper” também troca endereços de carteira copiados com os próprios fundos dos hackers e redirecionando. Uma dessas carteiras marcou 5 BTC – no valor de US $ 485.000 na época – somente em novembro.
Ativo por pelo menos dois anos, o Gitvenom atingiu os usuários mais difícil na Rússia, Brasil e Turquia, embora seu alcance seja global, por Kaspersky.
Os atacantes o mantêm furtivos imitando o desenvolvimento ativo e variando suas táticas de codificação para evitar o software antivírus.
Como os usuários podem se proteger? Examinando qualquer código antes de executá -lo, verificando a autenticidade do projeto e suspeitando de leitura excessivamente polida ou histórias de compromisso inconsistentes.
Como os pesquisadores não esperam que esses ataques parem tão cedo: “Esperamos que essas tentativas continuem no futuro, possivelmente com pequenas mudanças nos TTPs”, concluiu Kaspersky em seu cargo.
