Sofistike bir siber tehdit olan Gitvenom kampanyası, kötü amaçlı yazılım yaymak ve kripto para birimini çalmak için GitHub depolarından yararlanıyor.
Bu kampanya, meşru görünen ancak kötü amaçlı kod içeren yüzlerce sahte GitHub depoları oluşturmayı içerir.
Bu depolar, şüphesiz geliştiricileri kötü amaçlı kodu indirmeye ve yürütmeye teşvik etmek için tasarlanmıştır, bu da önemli finansal kayıplara yol açabilir.
Kötü amaçlı kod dağıtımı
Gitvenom’un arkasındaki saldırganlar sahte projelerini Python, JavaScript, C, C ++ ve C#dahil olmak üzere birçok programlama dilinde hazırladılar.
Bu projeler genellikle sosyal medya veya kripto para yönetimi için otomasyon araçları gibi işlevleri vaat eder, bunun yerine kötü amaçlı kodları gizlerken anlamsız eylemler yapar.
Örneğin, Python tabanlı projeler, uzun bir sekme karakter satırının ardından kötü niyetli bir Python komut dosyasını şifresini çözen ve yürüten kod izlediği bir teknik kullanır.
JavaScript projelerinde, kötü niyetli işlevler, Base64’ten komut dosyalarını kodlamak ve yürütmek için gömülüdür.
C, C ++ ve C# projeleri için, geliştirme işlemi sırasında yürütülecek Visual Studio proje dosyaları içinde kötü amaçlı toplu komut dosyaları gizlenir.
Bu sahte projelerden dağıtılan kötü amaçlı yükler, saldırgan kontrollü bir GitHub deposundan ek kötü amaçlı bileşenler indirmeyi amaçlamaktadır.
Bu bileşenler, kimlik bilgileri ve kripto para birimi cüzdan verileri gibi hassas bilgileri toplayan, telgraf aracılığıyla saldırganlara yükleyen ve açık kaynak Asyncrat ve Quasar Backroors gibi araçları kullanan bir Node.js Stealer’ı içerir.
Securelist raporuna göre, kripto para birimi cüzdan adreslerini saldırganlar tarafından kontrol edilenlerle değiştirmek için bir pano korsanı da kullanılır ve bu da önemli finansal hırsızlığa yol açar.
Özellikle, bir saldırgan kontrollü bitcoin cüzdanı Kasım 2024’te yaklaşık 5 BTC (o sırada yaklaşık 485.000 $) aldı.
Etki ve azaltma
Gitvenom kampanyası, özellikle Rusya, Brezilya ve Türkiye’de dünya çapında enfeksiyon girişimleri gözlemlenerek birkaç yıldır aktif.
Bu kampanya, GitHub veya diğer açık kaynaklı platformlardan körü körüne kodu çalıştırma ile ilişkili riskleri vurgulamaktadır.
Bu riskleri azaltmak için geliştiriciler, projelerine yürütülmeden veya entegrasyondan önce üçüncü taraf kodunu iyice incelemelidir.
Bu, şüpheli kod kalıplarının kontrol edilmesini ve kodun açıklanan işlevlerle uyumlu olmasını içerir.
Açık kaynaklı kod kullanımı büyümeye devam ettikçe, benzer kampanyalar için potansiyele de devam ederek üçüncü taraf kodunun ele alınmasında uyanıklık ihtiyacını vurgulamaktadır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here