Kaspersky ostrzega przed projektami na GitHubie zainfekowanymi złośliwym oprogramowaniem: jak hakerzy kradną dane uwierzytelniające

Firma Kaspersky, zajmująca się cyberbezpieczeństwem, ostrzegła, że cyberprzestępcy wykorzystują GitHub do rozpowszechniania złośliwego oprogramowania kradnącego dane uwierzytelniające za pośrednictwem fałszywych repozytoriów.

Kampania, nazwana „GitVenom”, polega na tworzeniu przez atakujących pozornie legalnych projektów zawierających złośliwy kod, który infekuje urządzenia użytkowników po pobraniu.

Te repozytoria są przeznaczone dla programistów, użytkowników kryptowalut i firm korzystających z oprogramowania open-source.

Badania Kaspersky'ego, opublikowane 24 lutego, podkreślają, w jaki sposób cyberprzestępcy manipulują platformą GitHub, aby ich repozytoria wydawały się wiarygodne.

Wykorzystując sztuczną inteligencję do generowania dokumentacji i aktualizując znaczniki czasu, aby sugerować aktywne prace rozwojowe, hakerzy podstępnie nakłaniają niczego niepodejrzewających użytkowników do pobierania i uruchamiania złośliwego oprogramowania.

Ryzyko dotyczy nie tylko programistów poszukujących narzędzi open source.

Złośliwe oprogramowanie w tych repozytoriach obejmuje programy kradnące informacje, trojany zdalnego dostępu (RAT) i programy przechwytujące zawartość schowka, a wszystkie mają na celu wyłudzanie danych uwierzytelniających, portfele do kryptowalut i danych osobowych.

Wobec ciągłego doskonalenia taktyk przez cyberprzestępców, użytkownicy GitHub stają w obliczu ewoluującego zagrożenia cyberbezpieczeństwa, które dotyka wielu branż.

Złośliwe oprogramowanie podszywające się pod legalne oprogramowanie

Raport firmy Kaspersky szczegółowo opisuje, w jaki sposób hakerzy stosują podstępne taktyki, aby rozpowszechniać złośliwe oprogramowanie pod pozorem pomocnych narzędzi.

Wiele fałszywych repozytoriów twierdzi, że oferuje oprogramowanie, takie jak boty Telegrama do zarządzania portfelami Bitcoinów lub narzędzia automatyzacji dla platform mediów społecznościowych, takich jak Instagram.

W rzeczywistości te projekty służą jako przykrywka do rozpowszechniania złośliwego oprogramowania mającego na celu zbieranie poufnych danych.

Po zainstalowaniu złośliwe oprogramowanie aktywuje się i zaczyna wydobywać dane logowania, informacje o portfel do kryptowalut oraz historię przeglądania.

Skradzione dane są następnie przesyłane napastnikom za pośrednictwem Telegrama, co pozwala im zdalnie uzyskiwać dostęp do kont i kraść pieniądze.

Przechwytywacze schowka dodatkowo zwiększają ryzyko, monitorując skopiowane adresy portfeli i zastępując je adresami kontrolowanymi przez hakerów — przekierowując transakcje do cyberprzestępców.

Badania Kaspersky'ego wykazały, że wiele z tych złośliwych projektów działało co najmniej dwa lata, co podkreśla ich skuteczność w oszukiwaniu ofiar.

Zaawansowanie tych ataków sugeruje, że cyberprzestępcy zidentyfikowali GitHub jako lukratywny wektor dystrybucji złośliwego oprogramowania i prawdopodobnie będą nadal doskonalić swoje techniki.

Kradzieże kryptowalut powiązane z GitVenom

Skutki kampanii GitVenom były znaczące, a hakerzy z powodzeniem wyłudzali pieniądze od niczego niepodejrzewających ofiar.

W jednym przypadku zgłoszonym w listopadzie 2024 r. portfel kontrolowany przez hakera otrzymał pięć Bitcoinów o wartości około 442 000 dolarów w tamtym czasie.

Chociaż zainfekowane złośliwym oprogramowaniem repozytoria GitHub zostały wykryte na całym świecie, Kaspersky zauważa, że użytkownicy w Rosji, Brazylii i Turcji zostali dotknięci w nieproporcjonalnie dużym stopniu.

Biorąc pod uwagę ogromną liczbę programistów i firm korzystających z GitHub do tworzenia oprogramowania, ataki te mogą eskalować, jeśli nie zostaną podjęte proaktywne środki bezpieczeństwa.

Rosnące wykorzystanie dokumentacji generowanej przez sztuczną inteligencję i wprowadzających w błąd dzienników aktualizacji sugeruje, że sprawcy ataków cybernetycznych ewoluują swoje metody, aby uniknąć wykrycia.

Badacze bezpieczeństwa ostrzegają, że dopóki GitHub i jego użytkownicy nie wdrożą bardziej rygorystycznych procesów weryfikacji, podobne kampanie złośliwego oprogramowania będą się powtarzać, prowadząc do kolejnych kradzieży danych uwierzytelniających i strat finansowych.

Branża kryptowalut straciła w 2024 roku 1,49 miliarda dolarów.

Ustalenia Kaspersky'ego są zgodne z szerszymi trendami w cyberbezpieczeństwie w przestrzeni kryptowalut.

Według raportu firmy Immunefi, zajmującej się bezpieczeństwem blockchain, w 2024 roku branża kryptowalut poniosła straty w wysokości 1,49 miliarda dolarów z powodu ataków hakerskich i oszustw.

To oznaczało spadek o 17% w porównaniu z 2023 rokiem, jednak ataki hakerskie nadal były główną przyczyną strat finansowych.

Z łącznej kwoty 1,49 miliarda dolarów strat, 1,47 miliarda dolarów – 98,1% – przypisano atakom hakerskim, przy czym udokumentowano 192 takie incydenty.

Oszustwa, w tym tzw. „rug pulls” i „exit scams”, stanowiły 28 milionów dolarów, co stanowiło zaledwie 1,9% wszystkich strat.

Jednak liczba przypadków oszustw wzrosła o 72% rok do roku, co odzwierciedla rosnącą wyrafinowanie taktyk cyberprzestępców.

Chociaż spadek ogólnych strat sugeruje poprawę środków bezpieczeństwa, liczba ataków nadal pozostaje wysoka.

W 2023 roku zgłoszono 320 incydentów hakerskich, w porównaniu do 232 w 2024 roku – co stanowi spadek o 27,5%.

Eksperci ds. cyberbezpieczeństwa ostrzegają, że pomimo postępów, platformy takie jak GitHub nadal są wykorzystywane, a do minimalizacji ryzyka niezbędne są bardziej ukierunkowane strategie bezpieczeństwa.

W miarę jak cyberprzestępcy doskonalą swoje metody, organizacje i programiści muszą zachować ostrożność podczas pobierania oprogramowania z platform open-source.

Rozwój fałszywych repozytoriów generowanych przez sztuczną inteligencję, w połączeniu z ciągłym zagrożeniem cyberatakami związanymi z kryptowalutami, podkreśla potrzebę ulepszonych metod weryfikacji, aby zapobiec znacznym stratom finansowym.