Kaspersky memberi amaran tentang projek GitHub yang dipenuhi perisian hasad: cara penggodam mencuri bukti kelayakan

Penjenayah siber mengeksploitasi GitHub untuk menyebarkan perisian hasad yang mencuri bukti kelayakan melalui repositori palsu, firma keselamatan siber Kaspersky telah memberi amaran.

Kempen itu, digelar "GitVenom," melibatkan penyerang mencipta projek yang kelihatan sah yang dipenuhi dengan kod hasad yang menjangkiti peranti pengguna semasa dimuat turun.

Repositori ini direka bentuk untuk menyasarkan pembangun, pengguna crypto, dan perniagaan yang bergantung pada perisian sumber terbuka.

Penyelidikan Kaspersky, yang diterbitkan pada 24 Februari, menyerlahkan bagaimana pelakon ancaman memanipulasi platform GitHub untuk menjadikan repositori mereka kelihatan boleh dipercayai.

Dengan memanfaatkan kecerdasan buatan untuk menjana dokumentasi dan mengemas kini cap masa untuk mencadangkan pembangunan aktif, penggodam menipu pengguna yang tidak curiga untuk memuat turun dan melaksanakan perisian hasad.

Risiko melangkaui pemaju yang mencari alat sumber terbuka.

Malware dalam repositori ini termasuk pencuri maklumat, trojan akses jauh (RAT) dan perampas papan keratan, semuanya bertujuan untuk menyedut bukti kelayakan, dompet mata wang kripto dan data peribadi.

Dengan penjenayah siber yang terus memperhalusi taktik mereka, pengguna GitHub menghadapi ancaman keselamatan siber yang berkembang pesat yang merentas pelbagai industri.

Perisian hasad menyamar sebagai perisian

Laporan Kaspersky memperincikan cara penggodam menggunakan taktik menipu untuk menolak perisian hasad di bawah samaran alat yang berguna.

Banyak repositori palsu mendakwa menawarkan perisian seperti bot Telegram untuk mengurus dompet Bitcoin atau alat automasi untuk platform media sosial seperti Instagram.

Pada hakikatnya, projek ini berfungsi sebagai bahagian hadapan untuk mengedarkan perisian hasad yang direka untuk menuai data sensitif.

Setelah dipasang, perisian hasad mengaktifkan dan mula mengekstrak bukti kelayakan log masuk, maklumat dompet mata wang kripto dan sejarah penyemakan imbas.

Data yang dicuri kemudiannya dihantar kepada penyerang melalui Telegram, membolehkan mereka mengakses akaun dan mencuri dana dari jauh.

Perampas papan klip meningkatkan lagi risiko dengan memantau alamat dompet yang disalin dan menggantikannya dengan alamat terkawal penggodam—mengubah hala transaksi kepada penjenayah siber.

Penyelidikan Kaspersky mendapati bahawa banyak projek berniat jahat ini telah aktif selama sekurang-kurangnya dua tahun, menonjolkan keberkesanannya dalam memperdaya mangsa.

Kecanggihan serangan ini menunjukkan bahawa penjenayah siber telah mengenal pasti GitHub sebagai vektor yang menguntungkan untuk mengedarkan perisian hasad, dan mereka mungkin akan terus memperhalusi teknik mereka.

Kecurian kripto dikaitkan dengan GitVenom

Kesan kempen GitVenom sangat ketara, dengan penggodam berjaya menyedut dana daripada mangsa yang tidak curiga.

Dalam satu contoh yang dilaporkan pada November 2024, dompet yang dikawal penggodam menerima lima Bitcoin, bernilai kira-kira $442,000 pada masa itu.

Walaupun repositori GitHub yang sarat dengan perisian hasad telah ditemui di seluruh dunia, Kaspersky menyatakan bahawa pengguna di Rusia, Brazil dan Turki telah terjejas secara tidak seimbang.

Memandangkan bilangan besar pembangun dan perniagaan yang bergantung pada GitHub untuk pembangunan perisian, serangan ini boleh meningkat jika langkah keselamatan proaktif tidak diterima pakai.

Peningkatan penggunaan dokumentasi yang dijana AI dan log kemas kini yang menipu menunjukkan bahawa pelaku ancaman sedang mengembangkan kaedah mereka untuk mengelakkan pengesanan.

Penyelidik keselamatan memberi amaran bahawa melainkan GitHub dan penggunanya melaksanakan proses pemeriksaan yang lebih ketat, kempen perisian hasad yang serupa akan berterusan, yang membawa kepada lebih banyak pencurian kelayakan dan kerugian kewangan.

Industri kripto kehilangan $1.49B pada tahun 2024

Penemuan Kaspersky sejajar dengan trend keselamatan siber yang lebih luas dalam ruang crypto.

Menurut laporan daripada firma keselamatan blockchain Immunefi, industri crypto mengalami kerugian $1.49 bilion akibat penggodaman dan penipuan pada tahun 2024.

Ini menandakan penurunan sebanyak 17% daripada 2023, namun insiden penggodaman kekal sebagai punca utama kerugian kewangan.

Daripada jumlah $1.49 bilion yang hilang, $1.47 bilion—98.1%—disebabkan oleh penggodaman, dengan 192 insiden yang didokumenkan.

Penipuan, termasuk penipuan tarik dan keluar permaidani, menyumbang $28 juta, mewakili hanya 1.9% daripada jumlah kerugian.

Walau bagaimanapun, kes penipuan melonjak sebanyak 72% tahun ke tahun, mencerminkan kecanggihan yang semakin meningkat dalam taktik jenayah siber.

Walaupun penurunan dalam kerugian keseluruhan mencadangkan langkah keselamatan yang dipertingkatkan, bilangan serangan kekal tinggi.

Pada 2023, 320 insiden penggodaman dilaporkan, berbanding 232 pada 2024—pengurangan sebanyak 27.5%.

Pakar keselamatan siber memberi amaran bahawa walaupun terdapat kemajuan, platform seperti GitHub terus dieksploitasi dan lebih banyak strategi keselamatan disasarkan diperlukan untuk mengurangkan risiko.

Semasa penjenayah siber memperhalusi pendekatan mereka, organisasi dan pembangun mesti berhati-hati apabila memuat turun perisian daripada platform sumber terbuka.

Peningkatan repositori palsu yang dijana oleh AI, ditambah pula dengan ancaman serangan siber berkaitan crypto yang berterusan, menekankan keperluan untuk kaedah pengesahan yang dipertingkatkan untuk mengelakkan kerugian kewangan berskala besar.