Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными), они просто берут уже готовый велосипед код из открытого репозитория в Github.
Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.
Оглавление
Что такое GitVenom
Так мы назвали вредоносную кампанию, в ходе которой неизвестными были созданы более 200 репозиториев, содержащие фейковые проекты с вредоносным кодом: боты для Telegram, инструменты для взлома игры Valorant, автоматизации действий в Instagram и управления кошельками Bitcoin. На первый взгляд все репозитории выглядят легитимно, особенно выделяется хорошо оформленный файл-гайд по работе с кодом README.MD с подробными инструкциями на нескольких языках мира.
Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках
Еще один признак якобы в пользу легитимности открытых кодов — большое количество коммитов. В репозиториях злоумышленником их очень много и нет, они не обновляют для правдоподобности каждый из двух сотен репозиториев. Попросту один раз поместили в них файлы с временными метками, которые обновлялись каждые несколько минут. Все это создант иллюзию в глазах разработчиков, мол с кодом тут все в порядке, его абсолютно безопасно использовать.
GitVenom активен как минимум два года
Кампания действовала минимум несколько лет, самому старому обнаруженному нами поддельному репозиторию около двух лет. За это время жертвами GitVenom стали разработчики из России, Бразилии, Турции и других стран. Злоумышленники охватили довольно-таки большое количество разработчиков, вредоносный код был обнаружен в репозиториях с Python, JavaScript, C, C# и C++.
Что касается возможности поддельного кода, все описанные в файле-инструкции возможности реализованы не были, код не делает и половины заявленного. Вместо этого, «благодаря» ему на компьютерах жертв оказываются вредоносные компоненты из репозитория злоумышленников на GitHub:
Node.js-стилер. Собирает логины и пароли, данные криптовалютного кошелька, историю просмотров, упаковывает ее в архив .7z и отправляет злоумышленникам через Telegram.
AsyncRAT. Средство удаленного администрирования устройства жертвы с открытым исходным кодом, которое может работать в том числе и как кейлоггер.
Бэкдор Quasar с открытым исходным кодом.
Клипер, который ищет в содержимом буфера обмена адреса криптовалютных кошельков и заменяет их на контролируемые злоумышленниками. Примечательно, что хакерский кошелек получил единовременную сумму в размере около 5 BTC (примерно $ 480 000 долларов США на момент публикации поста) в ноябре 2024 года.
Как защититься от вредоносного кода на GitHub
Если коротко, то лучший способ защиты — внимательность. Поскольку Github используют более 100 млн разработчиков, злоумышленники наверняка продолжат распространять вредоносный код с помощью платформы. Вопрос только в том, как именно они будут это делать — еще десять лет назад никто не догадывался, что атакующим удастся так долго и упорно вести свои кампании, как GitVenom. Поэтому каждому разработчику необходимо соблюдать правила кибергигиены при работе с GitHub.
Анализируйте код прежде, чем интегрировать его в существующий проект.
Используйте защиту от вредоносного ПО на компьютерах и смартфонах.
Тщательно проверяйте косвенные признаки: аккаунты контрибьюторов, количество звезд (лайков), дату создания. Скорее всего, если аккаунт создан три дня назад, репозиторий — два, а красуется там одна звезда, то с большой долей вероятности можно сказать, что внутри будет вредоносный код.
Не скачивайте файлы по прямым ссылкам на GitHub, которые опубликованы в чатах, подозрительных каналах или непроверенных сайтах.
При обнаружении подозрительного репозитория, сообщите в GitHub — это может спасти несколько чужих устройств без надежной защиты.
Блог Касперского