Os pesquisadores da Kaspersky identificaram um vetor de ataque no GitHub que usa repositórios para distribuir o código que tem como alvo as carteiras de criptografia.
O investigação revelou uma campanha apelidada de Gitvenom, na qual os atores de ameaças criaram centenas de repositórios do GitHub pretendendo oferecer serviços públicos para automação de mídia social, gerenciamento de carteiras e até aprimoramentos de jogos.
Embora esses repositórios tenham sido projetados para se parecer com projetos legítimos de código aberto, seu código não conseguiu entregar as funções anunciadas. Em vez disso, ele incorporou instruções para instalar bibliotecas criptográficas, baixar cargas úteis adicionais e executar scripts ocultos.
Repositórios Gitvenom
O código malicioso aparece nos projetos Python, JavaScript, C, C ++ e C#. Nos repositórios baseados em Python, uma longa sequência de caracteres de guia precede comandos que instalam pacotes como criptografia e samnet, descriptografando e executando uma carga útil criptografada.
Os projetos JavaScript incorporam uma função que decodifica um script codificado de Base64, desencadeando a rotina maliciosa.
Da mesma forma, em projetos usando C, C ++ e C#, um script em lote escondido nos arquivos do projeto Visual Studio é ativado no horário de construção. De acordo com o relatório da Kaspersky, cada carga útil é configurada para buscar outros componentes de um repositório do Github controlado por atacante.
Esses componentes adicionais incluem um ladrão de node.js que coleta credenciais salvas, dados da carteira digital e histórico de navegação antes de empacotar as informações em um arquivo para exfiltração via telegrama.
Ferramentas de código aberto, como o implante assíncrono e o backdoor quasar, também são usadas para facilitar o acesso remoto. Também é usado um seqüestrador de área de transferência que digitaliza a carteira de criptografia e os substitui pelos controlados pelos atacantes.
Vetor de ataque não é novo
A campanha, que atua por vários anos com alguns repositórios originários de dois anos atrás, provocou tentativas de infecção em todo o mundo. Os dados de telemetria indicam que as tentativas vinculadas ao Gitvenom foram mais proeminentes na Rússia, Brasil e Turquia.
Os pesquisadores da Kaspersky enfatizaram a importância de examinar o código de terceiros antes da execução, observando que as plataformas de código aberto, embora essenciais para o desenvolvimento colaborativo, também podem servir como conduítes para malware quando os repositórios são manipulados para imitar projetos autênticos.
Os desenvolvedores são aconselhados a verificar novamente o conteúdo e a atividade dos repositórios do GitHub antes de integrar o código em seus projetos.
O relatório descreve que esses projetos usam IA para inflar artificialmente histórias de compromisso e criar arquivos de leitura detalhados. Assim, ao revisar um novo repositório, os desenvolvedores devem verificar a linguagem excessivamente detalhada, a estrutura fórmula e até as sobras de IA Instruções ou respostas nessas áreas.
Enquanto o uso da IA para ajudar a criar um arquivo de leitura não é uma bandeira vermelha em si, identificar que ele deve estimular os desenvolvedores a investigar mais antes de usar o código. Procurando envolvimento da comunidade, críticas e outros projetos que usam o repositório podem ajudar com isso. No entanto, falso Revisões geradas pela IA E as postagens nas redes sociais também fazem disso um desafio difícil.
