Kaspersky varnar för GitHub-projekt som drabbats av malware: hur hackare stjäl autentiseringsuppgifter

Cyberbrottslingar utnyttjar GitHub för att sprida skadlig programvara som stjäl autentiseringsuppgifter genom falska arkiv, har cybersäkerhetsföretaget Kaspersky varnat.

Kampanjen, kallad "GitVenom", involverar angripare som skapar till synes legitima projekt fyllda med skadlig kod som infekterar användarnas enheter vid nedladdning.

Dessa arkiv är utformade för att rikta sig till utvecklare, kryptoanvändare och företag som förlitar sig på programvara med öppen källkod.

Kasperskys forskning, som publicerades den 24 februari, belyser hur hotaktörer manipulerar GitHubs plattform för att få deras arkiv att framstå som trovärdiga.

Genom att utnyttja artificiell intelligens för att generera dokumentation och uppdatera tidsstämplar för att föreslå aktiv utveckling, lurar hackare intet ont anande användare att ladda ner och köra skadlig programvara.

Riskerna sträcker sig bortom utvecklare som letar efter verktyg med öppen källkod.

Skadlig programvara i dessa förvar inkluderar informationsstöldare, trojaner med fjärråtkomst (RAT) och klippbordskapare, alla syftade till att hämta inloggningsuppgifter, kryptovaluta plånböcker och personlig data.

Med cyberbrottslingar som kontinuerligt förfinar sin taktik, står GitHub-användare inför ett växande cybersäkerhetshot som sträcker sig över flera branscher.

Skadlig programvara förklädd som programvara

Kasperskys rapport beskriver hur hackare använder vilseledande taktik för att driva skadlig programvara under sken av användbara verktyg.

Många falska arkiv hävdar att de erbjuder programvara som Telegram-bots för att hantera Bitcoin-plånböcker eller automatiseringsverktyg för sociala medieplattformar som Instagram.

I verkligheten fungerar dessa projekt som en front för att distribuera skadlig programvara som är utformad för att samla in känslig data.

När den har installerats aktiveras den skadliga programvaran och börjar extrahera inloggningsuppgifter, information om kryptovaluta plånbok och webbhistorik.

Den stulna informationen överförs sedan till angripare via Telegram, vilket gör att de kan komma åt konton och stjäla pengar på distans.

Urklippskapare ökar risken ytterligare genom att övervaka kopierade plånboksadresser och ersätta dem med hackerkontrollerade adresser – omdirigerar transaktioner till cyberbrottslingar.

Kasperskys forskning fann att många av dessa skadliga projekt har varit aktiva i minst två år, vilket framhäver deras effektivitet när det gäller att lura offer.

Det sofistikerade i dessa attacker tyder på att cyberkriminella har identifierat GitHub som en lukrativ vektor för att distribuera skadlig programvara, och de kommer sannolikt att fortsätta att förfina sina tekniker.

Kryptostölder kopplade till GitVenom

Effekten av GitVenom-kampanjen har varit betydande, med hackare som framgångsrikt har tagit pengar från intet ont anande offer.

I ett fall som rapporterades i november 2024, fick en hackerkontrollerad plånbok fem Bitcoin, värderade till cirka 442 000 USD vid den tiden.

Medan de skadliga GitHub-arkiven har upptäckts över hela världen, noterar Kaspersky att användare i Ryssland, Brasilien och Turkiet har drabbats oproportionerligt mycket.

Med tanke på det stora antalet utvecklare och företag som förlitar sig på GitHub för mjukvaruutveckling, kan dessa attacker eskalera om proaktiva säkerhetsåtgärder inte antas.

Den ökande användningen av AI-genererad dokumentation och vilseledande uppdateringsloggar tyder på att hotaktörer utvecklar sina metoder för att undvika upptäckt.

Säkerhetsforskare varnar för att om inte GitHub och dess användare implementerar striktare granskningsprocesser, kommer liknande skadliga kampanjer att fortsätta, vilket leder till fler autentiseringsstölder och ekonomiska förluster.

Kryptoindustrin förlorade 1,49 miljarder dollar 2024

Kasperskys fynd stämmer överens med bredare cybersäkerhetstrender inom kryptorymden.

Enligt en rapport från blockchain-säkerhetsföretaget Immunefi led kryptoindustrin 1,49 miljarder dollar i förluster på grund av hacks och bedrägerier 2024.

Detta markerade en minskning med 17 % från 2023, men hackincidenter förblev den primära orsaken till ekonomiska förluster.

Av de totala förlorade 1,49 miljarderna dollar tillskrevs 1,47 miljarder dollar – 98,1 % – till hacks, med 192 dokumenterade incidenter.

Bedrägerier, inklusive mattdrag och exit-bedrägerier, stod för 28 miljoner dollar, vilket motsvarar endast 1,9 % av de totala förlusterna.

Men bedrägerifallen ökade med 72 % på årsbasis, vilket återspeglar en växande sofistikerad taktik inom cyberkriminalitet.

Även om minskningen av totala förluster tyder på förbättrade säkerhetsåtgärder, är antalet attacker fortfarande högt.

Under 2023 rapporterades 320 hackincidenter, jämfört med 232 2024 – en minskning med 27,5 %.

Cybersäkerhetsexperter varnar för att trots framstegen fortsätter plattformar som GitHub att utnyttjas, och mer riktade säkerhetsstrategier är nödvändiga för att minska riskerna.

När cyberbrottslingar förfinar sina metoder måste organisationer och utvecklare vara försiktiga när de laddar ner programvara från plattformar med öppen källkod.

Ökningen av AI-genererade falska arkiv, tillsammans med det pågående hotet om kryptorelaterade cyberattacker, understryker behovet av förbättrade verifieringsmetoder för att förhindra storskaliga ekonomiska förluster.