Эксперты Kaspersky GReAT обнаружили на GitHub множество репозиториев с малварью, которая замаскирована под проекты с открытым исходным кодом. Например, злоумышленники маскируют малварь под Telegram-бот для управления криптовалютными кошельками, инструменты для автоматизации работы с Instagram-аккаунтами* или читы для игры Valorant.
Основной целью этой кампании, получившей название GitVenom, является кража конфиденциальных данных и денег. По данным исследователей, с этой кампанией столкнулись пользователи по всему миру, но наибольшее количество атак было зафиксировано в России, Турции и Бразилии.
В общей сложности на GitHub нашли более 200 репозиториев с зараженными пакетами. Чтобы привлечь внимание потенциальных жертв, злоумышленники использовали привлекательные описания, вероятно созданные с использованием нейросетей.
Также хакеры использовали множество тегов и искусственно увеличивали количество коммитов. Для этого они добавляли в репозитории файл временной метки, который обновлялся каждые несколько минут.
Код из этих репозиториев не выполнял заявленных функций. Вместо этого он устанавливал на устройства пользователей малварь: стилер, написанный на Node.js, троян AsyncRAT и бэкдор Quasar. Это позволяло злоумышленникам удаленно мониторить действия пользователя на зараженном устройстве и управлять им, а также похищать пароли, платежные данные, историю браузера и передавать данные атакующим.
«Еще одной вредоносной программой, которая устанавливалась на зараженное устройство в рамках обнаруженной кампании, оказался клиппер. Используя такие зловреды, злоумышленники могут подменять адреса криптокошельков в буфере обмена — заменять их на свои. Мы провели анализ и выяснили, что в ноябре 2024 года на биткоин-кошелек, принадлежащий атакующим, была переведена сумма в размере около 5 биткоинов. Это примерно 485 000 долларов [на момент проведения исследования]», — комментирует Георгий Кучерин, эксперт Kaspersky GReAT.
* Принадлежит компании Meta, деятельность которой признана экстремистской и запрещена в России.
