Фейковое ПО на GitHub принесло хакерам $485 000 в биткоинах за одну атаку

Неустановленная группа хакеров разместила на GitHub сотни репозиториев с поддельными проектами, содержащими трояны удаленного доступа, программы для кражи информации и перехватчики буфера обмена. Об этом сообщили аналитики «Лаборатории Касперского».

Среди фейковых проектов — Telegram-бот, управляющий биткоин-кошельками, и инструмент для автоматизации взаимодействия с аккаунтами Instagram. Часть из них загружена не менее двух лет назад. 

Создатели вредоносов с целью придания им большей легитимности и создания видимости активной разработки добавляли в описание подробную информацию, файлы инструкций, а также завышали количество коммитов. 

Один из вредоносных компонентов — инфостилер для кражи сохраненных учетных данных, криптокошельков и истории просмотров браузера. Он передавал собранные сведения хакерам в Telegram. Еще одна полезная нагрузка — перехватчик буфера обмена, который подменял найденные криптовалютные адреса на контролируемые злоумышленником. 

На данный момент подтверждена одна жертва подобной атаки, от которой в ноябре 2024 года на контролируемый хакером кошелек поступило 5 BTC ($485 000 на момент исследования).

Кампания, получившая название GitVenom, наблюдается по всему миру, но в первую очередь нацелена на пользователей из РФ, Бразилии и Турции.

Разработчикам рекомендовали перед загрузкой ПО с GitHub проверять, какие действия выполняет сторонний код.

Ранее эксперты SecurityScorecard нашли профиль GitHub, распространявший новую малварь из КНДР для подмены криптокошельков.