Исследователи Kaspersky Global Research and Analysis Team (GReAT) выявили масштабную вредоносную кампанию, в рамках которой злоумышленники используют платформу GitHub для распространения малвари под видом легитимных проектов с открытым исходным кодом. Эксперты присвоили кампании название GitVenom и обнаружили более 200 скомпрометированных репозиториев.
Механизм атаки и методы социальной инженерии
Злоумышленники создают привлекательные для пользователей репозитории, маскируя вредоносный код под популярные инструменты: Telegram-боты для управления криптовалютой, утилиты автоматизации Instagram и читы для компьютерных игр. Для повышения правдоподобности используются SEO-оптимизированные описания, предположительно сгенерированные с помощью искусственного интеллекта, а также множественные теги и искусственно увеличенное количество коммитов через автоматическое обновление временных меток.
Типы распространяемого вредоносного ПО
В ходе исследования выявлено несколько видов малвари, устанавливаемой на устройства жертв:
- Node.js стилер — для кражи конфиденциальных данных
- AsyncRAT троян — обеспечивает удаленный доступ к зараженному устройству
- Quasar бэкдор — позволяет контролировать систему и похищать sensitive-информацию
- Криптовалютный клиппер — подменяет адреса криптокошельков в буфере обмена
Масштаб и география атак
Кампания GitVenom имеет глобальный охват, но наибольшее количество атак зафиксировано в России, Турции и Бразилии. По данным экспертов Kaspersky GReAT, только в ноябре 2024 года злоумышленники получили около 5 биткоинов (примерно $485,000) через подмену адресов криптовалютных кошельков.
Данная кампания демонстрирует растущую тенденцию использования легитимных платформ для распространения вредоносного ПО. Специалисты рекомендуют разработчикам и пользователям GitHub тщательно проверять репозитории перед использованием кода, обращать внимание на историю проекта, активность сообщества и репутацию авторов. Также важно использовать надежные средства защиты и регулярно обновлять системы безопасности.
