Kaspersky, kötü amaçlı yazılımlarla dolu GitHub projeleri konusunda uyarıyor: Bilgisayar korsanları kimlik bilgilerini nasıl çalıyor?

Siber güvenlik firması Kaspersky, siber suçluların sahte depolar aracılığıyla kimlik bilgisi çalan kötü amaçlı yazılımları yaymak için GitHub'ı kullandığı konusunda uyardı.

"GitVenom" adı verilen kampanya, saldırganların kullanıcıların cihazlarına indirildiğinde bulaşan kötü amaçlı kodlarla dolu, görünüşte meşru projeler oluşturmasını içeriyor.

Bu depolar, geliştiricileri, kripto kullanıcılarını ve açık kaynaklı yazılımlara güvenen işletmeleri hedeflemek üzere tasarlanmıştır.

Kaspersky'nin 24 Şubat'ta yayımlanan araştırması, tehdit aktörlerinin kendi depolarını güvenilir göstermek için GitHub'ın platformunu nasıl manipüle ettiğini ortaya koyuyor.

Yapay zekayı kullanarak dokümantasyon üretip zaman damgalarını güncelleyerek aktif geliştirmeyi öneren bilgisayar korsanları, şüphelenmeyen kullanıcıları kandırarak kötü amaçlı yazılımları indirmelerini ve çalıştırmalarını sağlıyor.

Riskler, açık kaynaklı araçlar arayan geliştiricilerin ötesine uzanıyor.

Bu depoların içindeki kötü amaçlı yazılımlar arasında bilgi hırsızları, uzaktan erişim truva atları (RAT'ler) ve pano korsanları yer alıyor ve bunların hepsi kimlik bilgilerini, kripto para cüzdanlarını ve kişisel verileri çalmayı amaçlıyor.

Siber suçlular taktiklerini sürekli olarak geliştirirken, GitHub kullanıcıları birçok sektörü kapsayan, giderek gelişen bir siber güvenlik tehdidiyle karşı karşıya kalıyor.

Yazılım kılığına girmiş kötü amaçlı yazılım

Kaspersky'nin raporunda, bilgisayar korsanlarının yararlı araçlar kisvesi altında kötü amaçlı yazılımları yaymak için nasıl aldatıcı taktikler kullandığı ayrıntılı olarak anlatılıyor.

Birçok sahte depo, Bitcoin cüzdanlarını yönetmek için Telegram botları veya Instagram gibi sosyal medya platformları için otomasyon araçları gibi yazılımlar sunduğunu iddia ediyor.

Gerçekte bu projeler, hassas verileri toplamak için tasarlanmış kötü amaçlı yazılımların dağıtımı için birer paravan görevi görüyor.

Kötü amaçlı yazılım yüklendikten sonra etkinleşiyor ve oturum açma kimlik bilgilerini, kripto para cüzdanı bilgilerini ve tarama geçmişini çıkarmaya başlıyor.

Çalınan veriler daha sonra Telegram üzerinden saldırganlara iletiliyor ve saldırganların hesaplara erişip uzaktan para çalmalarına olanak sağlıyor.

Pano korsanları, kopyalanan cüzdan adreslerini izleyerek ve bunları bilgisayar korsanlarının kontrolündeki adreslerle değiştirerek riski daha da artırıyor; böylece işlemleri siber suçlulara yönlendiriyorlar.

Kaspersky'nin araştırması, bu kötü amaçlı projelerin çoğunun en az iki yıldır aktif olduğunu ve bu durumun kurbanları aldatmada ne kadar etkili olduklarını ortaya koydu.

Bu saldırıların karmaşıklığı, siber suçluların GitHub'ı kötü amaçlı yazılım dağıtmak için kazançlı bir platform olarak belirlediklerini ve tekniklerini geliştirmeye devam edeceklerini gösteriyor.

GitVenom'a bağlı kripto hırsızlıkları

GitVenom kampanyasının etkisi büyük oldu; bilgisayar korsanları, şüphelenmeyen kurbanlardan para sızdırmayı başardı.

Kasım 2024'te bildirilen bir olayda, bilgisayar korsanlarının kontrolündeki bir cüzdan, o tarihte değeri yaklaşık 442.000 dolar olan beş Bitcoin aldı.

Kötü amaçlı yazılımlarla dolu GitHub depoları dünya çapında keşfedilirken, Kaspersky Rusya, Brezilya ve Türkiye'deki kullanıcıların orantısız bir şekilde etkilendiğini belirtiyor.

Yazılım geliştirme için GitHub'a güvenen çok sayıda geliştirici ve işletme göz önüne alındığında, proaktif güvenlik önlemleri alınmazsa bu saldırılar artabilir.

Yapay zeka tarafından oluşturulan belgelerin ve aldatıcı güncelleme günlüklerinin kullanımının artması, tehdit aktörlerinin tespit edilmekten kaçınmak için yöntemlerini geliştirdiğini gösteriyor.

Güvenlik araştırmacıları, GitHub ve kullanıcılarının daha sıkı inceleme süreçleri uygulamadıkları takdirde benzer kötü amaçlı yazılım saldırılarının devam edeceği ve bu durumun daha fazla kimlik bilgisi hırsızlığına ve mali kayba yol açacağı konusunda uyarıyor.

Kripto endüstrisi 2024'te 1,49 milyar dolar kaybetti

Kaspersky'nin bulguları kripto alanındaki daha geniş siber güvenlik trendleriyle örtüşüyor.

Blockchain güvenlik firması Immunefi'nin raporuna göre, kripto para sektörü 2024 yılında saldırılar ve dolandırıcılıklar nedeniyle 1,49 milyar dolar zarara uğradı.

Bu, 2023'e göre %17'lik bir düşüşe işaret etse de, mali kayıpların birincil nedeni hala bilgisayar korsanlığı olayları olmaya devam ediyor.

Toplam kaybedilen 1,49 milyar doların 1,47 milyar doları (%98,1) bilgisayar korsanlığı olaylarına atfedilirken, 192 olay belgelendi.

Halı çekme ve çıkış dolandırıcılığı gibi dolandırıcılıkların maliyeti 28 milyon doları buldu ve toplam kayıpların yalnızca %1,9'unu oluşturdu.

Ancak dolandırıcılık vakaları bir önceki yıla göre %72 oranında arttı ve bu durum siber suç taktiklerindeki artan karmaşıklığı yansıtıyor.

Toplam kayıplardaki düşüş güvenlik önlemlerinin iyileştiğini gösterse de saldırı sayısı yüksek kalmaya devam ediyor.

2023 yılında 320 adet bilgisayar korsanlığı olayı bildirilirken, 2024 yılında bu sayı 232'ye düştü; %27,5 oranında azalma yaşandı.

Siber güvenlik uzmanları, gelişmelere rağmen GitHub gibi platformların istismar edilmeye devam ettiği ve riskleri azaltmak için daha hedefli güvenlik stratejilerinin gerekli olduğu konusunda uyarıyor.

Siber suçlular yaklaşımlarını geliştirdikçe, kuruluşlar ve geliştiriciler açık kaynaklı platformlardan yazılım indirirken dikkatli olmalıdır.

Yapay zeka tarafından oluşturulan sahte veri havuzlarının artışı ve kripto paralarla ilgili siber saldırıların devam eden tehdidi, büyük ölçekli mali kayıpları önlemek için gelişmiş doğrulama yöntemlerine olan ihtiyacı vurguluyor.