网络犯罪分子利用假冒的GitHub代码库传播恶意软件,窃取比特币(BTC)和其他加密货币,网络安全公司卡巴斯基警告称。
卡巴斯基警告黑客利用假冒GitHub代码窃取比特币
根据卡巴斯基的最新报告,一项名为“GitVenom”的恶意软件活动已活跃至少两年,并在热门代码分享平台GitHub上越来越频繁地出现。
攻击始于看似合法的开源项目,例如Telegram机器人或用于管理加密钱包的游戏工具,但隐藏了旨在窃取加密资产的恶意代码。
GitVenom是如何工作的?
恶意软件巧妙地隐藏在GitHub代码库中:
每个项目看起来都是合法的,通常包含一个由AI生成的README文件以建立信任。
然而,代码中隐藏了恶意脚本。
在基于Python的项目中,攻击者在脚本中隐藏恶意软件,利用2,000个空的制表符空间,解密并运行恶意有效负载。
在基于JavaScript的项目中,嵌入在主文件中的假函数触发恶意软件攻击。
一旦激活,恶意软件会从黑客控制的GitHub代码库下载额外工具。
如何窃取加密货币?
安装后,GitVenom利用多种工具窃取敏感用户数据:
基于Node.js的密码和加密钱包窃贼提取存储的密码、钱包详情和浏览历史,然后通过Telegram将其发送给黑客。
远程访问木马(RAT)如AsyncRAT和Quasar劫持受害者的设备,记录按键并捕获屏幕截图。
一个剪切器通过用攻击者的钱包地址替换复制的钱包地址,重定向加密货币交易。
仅在11月,这样一个钱包就收到了5 BTC(48.5万美元)的赃款。
卡巴斯基指出,GitVenom在俄罗斯、巴西和土耳其特别活跃,但其影响是全球性的。攻击者通过模仿活跃的开发活动并不断更改编码策略以逃避杀毒软件检测,从而保持隐蔽。
如何保持安全?
卡巴斯基建议开发者和加密用户:
在运行代码之前仔细审查。验证任何GitHub项目的真实性。对过于夸张的README或不一致的提交历史保持警惕。
随着网络攻击的不断增加,GitVenom不太可能消失。“我们预计这些攻击在未来将继续,战术可能会有小幅变化,”卡巴斯基总结道。
*这不是投资建议。
