3 hours ago
6
Неустановленная группа хакеров разместила на GitHub сотни репозиториев с поддельными проектами, содержащими трояны удаленного доступа, программы для кражи информации и перехватчики буфера обмена. Об этом сообщили аналитики «Лаборатории Касперского».
Среди фейковых проектов — Telegram-бот, управляющий биткоин-кошельками, и инструмент для автоматизации взаимодействия с аккаунтами Instagram. Часть из них загружена не менее двух лет назад.
Создатели вредоносов с целью придания им большей легитимности и создания видимости активной разработки добавляли в описание подробную информацию, файлы инструкций, а также завышали количество коммитов.
Один из вредоносных компонентов — инфостилер для кражи сохраненных учетных данных, криптокошельков и истории просмотров браузера. Он передавал собранные сведения хакерам в Telegram. Еще одна полезная нагрузка — перехватчик буфера обмена, который подменял найденные криптовалютные адреса на контролируемые злоумышленником.
На данный момент подтверждена одна жертва подобной атаки, от которой в ноябре 2024 года на контролируемый хакером кошелек поступило 5 BTC ($485 000 на момент исследования).
Кампания, получившая название GitVenom, наблюдается по всему миру, но в первую очередь нацелена на пользователей из РФ, Бразилии и Турции.
Разработчикам рекомендовали перед загрузкой ПО с GitHub проверять, какие действия выполняет сторонний код.
Ранее эксперты SecurityScorecard нашли профиль GitHub, распространявший новую малварь из КНДР для подмены криптокошельков.
English (US) ·