Kaspersky waarschuwt voor met malware besmette GitHub-projecten: hoe hackers inloggegevens stelen

Cybercriminelen misbruiken GitHub om malware te verspreiden die inloggegevens steelt via nep-repositories, waarschuwt cybersecuritybedrijf Kaspersky.

De campagne, genaamd “GitVenom”, houdt in dat aanvallers schijnbaar legitieme projecten creëren die vol zitten met kwaadaardige code die de apparaten van gebruikers infecteert bij het downloaden.

Deze repositories zijn bedoeld voor ontwikkelaars, cryptogebruikers en bedrijven die afhankelijk zijn van open-source software.

Kaspersky's onderzoek, gepubliceerd op 24 februari, laat zien hoe dreigingsactoren het GitHub-platform manipuleren om hun repositories geloofwaardig te laten lijken.

Door gebruik te maken van kunstmatige intelligentie om documentatie te genereren en tijdstempels bij te werken om actieve ontwikkeling te suggereren, misleiden hackers nietsvermoedende gebruikers om malware te downloaden en uit te voeren.

De risico's reiken verder dan ontwikkelaars die op zoek zijn naar open-source tools.

De malware in deze repositories omvat informatie-stelers, remote access trojans (RAT's) en klembord-hijackers, allemaal gericht op het aftappen van inloggegevens, cryptocurrency wallets en persoonlijke gegevens.

Nu cybercriminelen hun tactieken voortdurend verfijnen, worden GitHub-gebruikers geconfronteerd met een evoluerende cyberbeveiligingsdreiging die zich uitstrekt over meerdere sectoren.

Malware vermomd als software

Het rapport van Kaspersky beschrijft hoe hackers misleidende tactieken gebruiken om malware te verspreiden onder het mom van nuttige tools.

Veel nep-repositories beweren software aan te bieden, zoals Telegram-bots voor het beheren van Bitcoin-wallets of automatiseringstools voor sociale media-platforms zoals Instagram.

In werkelijkheid dienen deze projecten als dekmantel voor het verspreiden van malware die is ontworpen om gevoelige gegevens te verzamelen.

Na installatie activeert de malware zich en begint met het extraheren van inloggegevens, informatie cryptocurrency wallet en browsegeschiedenis.

De gestolen gegevens worden vervolgens via Telegram naar de aanvallers verzonden, waardoor zij op afstand toegang krijgen tot accounts en geld kunnen stelen.

Clipboard-hijackers vergroten het risico nog verder door gekopieerde wallet-adressen te monitoren en deze te vervangen door adressen die door hackers worden beheerd – waardoor transacties naar cybercriminelen worden omgeleid.

Uit onderzoek van Kaspersky bleek dat veel van deze kwaadaardige projecten al minstens twee jaar actief zijn, wat hun effectiviteit bij het misleiden van slachtoffers onderstreept.

De geavanceerdheid van deze aanvallen suggereert dat cybercriminelen GitHub hebben geïdentificeerd als een lucratieve vector voor het verspreiden van malware, en ze zullen hun technieken waarschijnlijk blijven verfijnen.

Crypto-diefstallen gelinkt aan GitVenom

De impact van de GitVenom-campagne is aanzienlijk geweest, waarbij hackers met succes geld hebben afgetroggeld van nietsvermoedende slachtoffers.

In een geval dat in november 2024 werd gemeld, ontving een door een hacker gecontroleerde wallet vijf Bitcoin, ter waarde van ongeveer $442.000 op dat moment.

Hoewel de met malware besmette GitHub-repositories wereldwijd zijn ontdekt, merkt Kaspersky op dat gebruikers in Rusland, Brazilië en Turkije onevenredig hard zijn getroffen.

Gezien het enorme aantal ontwikkelaars en bedrijven dat voor softwareontwikkeling afhankelijk is van GitHub, kunnen deze aanvallen escaleren als er geen proactieve beveiligingsmaatregelen worden genomen.

Het toenemende gebruik van door AI gegenereerde documentatie en misleidende update-logboeken suggereert dat dreigingsactoren hun methoden aanpassen om detectie te voorkomen.

Beveiligingsonderzoekers waarschuwen dat, tenzij GitHub en zijn gebruikers strengere controleprocedures implementeren, soortgelijke malwarecampagnes zullen aanhouden, wat zal leiden tot meer diefstal van inloggegevens en financiële verliezen.

De crypto-industrie verloor in 2024 $1,49 miljard.

De bevindingen van Kaspersky sluiten aan bij bredere trends op het gebied van cyberbeveiliging in de cryptowereld.

Volgens een rapport van blockchain-beveiligingsbedrijf Immunefi leed de crypto-industrie in 2024 verliezen van $1,49 miljard door hacks en fraude.

Dit betekende een daling van 17% ten opzichte van 2023, maar hackingincidenten bleven de belangrijkste oorzaak van financiële verliezen.

Van de totale verliezen van $1,49 miljard was $1,47 miljard – 98,1% – toe te schrijven aan hacks, met 192 gedocumenteerde incidenten.

Fraude, waaronder rug pulls en exit scams, was goed voor $28 miljoen, wat slechts 1,9% van de totale verliezen vertegenwoordigt.

Het aantal fraudegevallen steeg echter met 72% ten opzichte van het voorgaande jaar, wat wijst op een toenemende verfijning van de tactieken van cybercriminelen.

Hoewel de afname van het totale aantal verliezen wijst op verbeterde beveiligingsmaatregelen, blijft het aantal aanvallen hoog.

In 2023 werden 320 hackincidenten gemeld, vergeleken met 232 in 2024 – een daling van 27,5%.

Cybersecurity-experts waarschuwen dat ondanks de vooruitgang platforms als GitHub nog steeds worden misbruikt en dat gerichtere beveiligingsstrategieën nodig zijn om risico's te beperken.

Nu cybercriminelen hun methoden verfijnen, moeten organisaties en ontwikkelaars voorzichtig zijn bij het downloaden van software van open-source platforms.

De opkomst van door AI gegenereerde nep-repositories, in combinatie met de voortdurende dreiging van cyberaanvallen gerelateerd aan cryptovaluta, onderstreept de noodzaak van verbeterde verificatiemethoden om grootschalige financiële verliezen te voorkomen.