Kaspersky avverte di progetti GitHub infetti da malware: come gli hacker rubano le credenziali

L'azienda di sicurezza informatica Kaspersky ha avvertito che i cybercriminali stanno sfruttando GitHub per diffondere malware che rubano credenziali attraverso repository falsi.

La campagna, soprannominata “GitVenom”, prevede che gli aggressori creino progetti apparentemente legittimi, ma contenenti codice dannoso che infetta i dispositivi degli utenti al momento del download.

Questi repository sono progettati per rivolgersi a sviluppatori, utenti di criptovalute e aziende che si affidano a software open-source.

La ricerca di Kaspersky, pubblicata il 24 febbraio, evidenzia come gli attori delle minacce manipolano la piattaforma GitHub per rendere credibili i propri repository.

Sfruttando l'intelligenza artificiale per generare documentazione e aggiornando i timestamp per suggerire uno sviluppo attivo, gli hacker inducono gli utenti ignari a scaricare ed eseguire malware.

I rischi vanno oltre gli sviluppatori che cercano strumenti open-source.

Il malware presente in questi repository include ladri di informazioni, trojan di accesso remoto (RAT) e dirottatori di appunti, tutti volti a sottrarre credenziali, wallet per criptovalute e dati personali.

Con i cybercriminali che affinano continuamente le loro tattiche, gli utenti di GitHub si trovano ad affrontare una minaccia alla sicurezza informatica in continua evoluzione che si estende a diversi settori.

Malware camuffato da software

Il rapporto di Kaspersky descrive nel dettaglio come gli hacker utilizzano tattiche ingannevoli per diffondere malware sotto le mentite spoglie di strumenti utili.

Molti repository falsi affermano di offrire software come bot Telegram per la gestione di portafogli Bitcoin o strumenti di automazione per piattaforme di social media come Instagram.

In realtà, questi progetti fungono da copertura per la distribuzione di malware progettati per raccogliere dati sensibili.

Una volta installato, il malware si attiva e inizia a estrarre credenziali di accesso, informazioni wallet per criptovalute e cronologia di navigazione.

I dati rubati vengono poi trasmessi agli aggressori tramite Telegram, consentendo loro di accedere ai conti e di sottrarre fondi da remoto.

I dirottatori della clipboard aumentano ulteriormente il rischio monitorando gli indirizzi dei portafogli copiati e sostituendoli con indirizzi controllati dagli hacker, reindirizzando le transazioni ai criminali informatici.

La ricerca di Kaspersky ha scoperto che molti di questi progetti dannosi sono attivi da almeno due anni, evidenziando la loro efficacia nell'ingannare le vittime.

La sofisticatezza di questi attacchi suggerisce che i cybercriminali hanno identificato GitHub come un vettore redditizio per la distribuzione di malware e che probabilmente continueranno a perfezionare le loro tecniche.

Furti di criptovalute legati a GitVenom

L'impatto della campagna GitVenom è stato significativo, con gli hacker che sono riusciti a sottrarre fondi a vittime ignare.

In un caso segnalato nel novembre 2024, un portafoglio controllato da un hacker ha ricevuto cinque Bitcoin, per un valore di circa 442.000 dollari al momento.

Sebbene i repository GitHub infetti da malware siano stati scoperti in tutto il mondo, Kaspersky osserva che gli utenti in Russia, Brasile e Turchia sono stati colpiti in modo sproporzionato.

Considerato il vasto numero di sviluppatori e aziende che si affidano a GitHub per lo sviluppo di software, questi attacchi potrebbero intensificarsi se non verranno adottate misure di sicurezza proattive.

Il crescente utilizzo di documentazione generata dall'intelligenza artificiale e di log di aggiornamento ingannevoli suggerisce che gli attori delle minacce stanno evolvendo i loro metodi per evitare di essere scoperti.

Gli esperti di sicurezza avvertono che, a meno che GitHub e i suoi utenti non implementino processi di verifica più rigorosi, campagne di malware simili persisteranno, portando a un aumento dei furti di credenziali e delle perdite finanziarie.

Il settore delle criptovalute ha perso 1,49 miliardi di dollari nel 2024.

Le scoperte di Kaspersky si allineano con le tendenze più ampie della sicurezza informatica nel settore delle criptovalute.

Secondo un rapporto della società di sicurezza blockchain Immunefi, nel 2024 il settore delle criptovalute ha subito perdite per 1,49 miliardi di dollari a causa di attacchi informatici e frodi.

Questo ha segnato un calo del 17% rispetto al 2023, ma gli incidenti di hacking sono rimasti la principale causa di perdite finanziarie.

Dei 1,49 miliardi di dollari persi in totale, 1,47 miliardi – il 98,1% – sono stati attribuiti ad attacchi informatici, con 192 incidenti documentati.

Le frodi, comprese le truffe "rug pull" e le "exit scam", hanno rappresentato 28 milioni di dollari, ovvero solo l'1,9% delle perdite totali.

Tuttavia, i casi di frode sono aumentati del 72% rispetto all'anno precedente, riflettendo una crescente sofisticazione nelle tattiche dei cybercriminali.

Sebbene la diminuzione delle perdite complessive suggerisca un miglioramento delle misure di sicurezza, il numero di attacchi rimane elevato.

Nel 2023 sono stati segnalati 320 incidenti di hacking, rispetto ai 232 del 2024, con una riduzione del 27,5%.

Gli esperti di sicurezza informatica avvertono che, nonostante i progressi, piattaforme come GitHub continuano a essere sfruttate e sono necessarie strategie di sicurezza più mirate per mitigare i rischi.

Con il perfezionarsi delle tecniche dei cybercriminali, le organizzazioni e gli sviluppatori devono prestare attenzione quando scaricano software da piattaforme open-source.

L'aumento dei falsi repository generati dall'intelligenza artificiale, unito alla continua minaccia di attacchi informatici legati alle criptovalute, sottolinea la necessità di metodi di verifica più efficaci per prevenire perdite finanziarie su larga scala.