“Gitvenom” adlı sofistike bir kötü amaçlı yazılım kampanyası, GitHub’ın açık kaynaklı ekosistemini, binlerce hileli depo aracılığıyla kötü amaçlı kod dağıtmak için, otomasyon araçları, kripto para birimi kamu hizmetleri ve oyun hackleri aracılığıyla hedefleyerek kullandı.
En az 2023’ten bu yana aktif olan kampanya, kötü niyetli yükleri meşru projeler olarak gizlemek, kripto para birimi sığınakları ve uzaktan erişim truva atları ile küresel olarak sistemden ödün vermek için gelişmiş sosyal mühendislik taktikleri kullanıyor.
Saldırganlar, Instagram otomasyon botları, Bitcoin cüzdan yöneticileri ve değer hackleme araçları için sahte projeler içeren yüzlerce GitHub depoları yarattı.
Bu depolar, güvenilir görünmek için kurulum talimatları, sürüm geçmişleri ve “Blockchain” veya “Steam API” gibi etiketleri içeren profesyonel olarak tasarlanmış ReadMe.md dosyalarını içeriyordu.
Burada tipik bir kötü niyetli deponun yapısı, aktif gelişimi simüle etmek için birkaç dakikada bir güncellenen zaman damgası dosyalarını gösterir.
.webp)
Kötü amaçlı kod implantasyonu programlama dili ile değişir. Securelist’teki güvenlik analistleri, Python projelerinde, saldırganların 2.000 sekmeli bir girinti eklediğini ve ardından kriptografi paketini yüklemek ve kod çözülmüş bir komut dosyasını yürütmek için gizli bir komuta eklediğini belirtti:-
subprocess. Run(['pip', 'install', 'cryptography'], stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)Bu teknik, Python’un beyaz alanı hassasiyetinden yararlanarak gündelik kod incelemelerini atladı. JavaScript depoları, görünüşte normal işlevler içinde baz64 kodlu yükler içeriyordu.
.webp)
Kod çözülmüş komut dosyaları, saldırgan kontrolündeki GitHub deposundan ikincil yükler getirdi Dipo17/battlehangi barındırılan:-
- Bir Node.js Stealer hasat kimlik bilgileri, cüzdan.dat dosyaları ve tarayıcı geçmişleri, telgraf botları aracılığıyla gönderilen .7Z arşivlerine sıkıştırılmış
- C2 Server 138.68.81.155’e bağlanan Asyncrat ve Quasar Rat’ın değiştirilmiş versiyonları
- Kripto para birimi adreslerini saldırganın Bitcoin cüzdanıyla değiştiren bir pano korsanı (BC1QTXLZ2M6R[…]Kasım 2024’te ~ 5 BTC (485.000 $) alan YSPZT).
C/C ++ gibi derlenmiş diller için, saldırganlar Visual Studio Project dosyalarına kötü amaçlı toplu komut dosyaları gömdü:
cmd /c "powershell -ep bypass -c [...binary blob...]"Bu, proje derlemesi sırasında yürütüldü ve kampanyanın platformlar arası uyarlanabilirliğini gösterdi.
Devam eden etki
Gitvenom’un altyapısı, enfeksiyon girişimleri Rusya (%38), Brezilya (%22) ve Türkiye’de (%17) yoğunlaşan sürekli operasyon belirtileri göstermektedir.
Kampanyanın başarısı, kod bütünlüğünü doğrulamadan kamu depolarına güvenen geliştiricilerden kaynaklanıyor.
Güvenlik uzmanları:-
- Anormal beyaz alan desenlerini tespit etmek için IDE eklentilerini kullanma
- Sandboxing Üçüncü Taraf Kod Yürütme
- Belgesiz GitHub depolarına bağlantılar için ağ trafiğini izleme
Araştırmacılar, SHA-256 Hashes 06D0D13A4CE73775CF94A4F12DB8BA9B01CD14222A2756 ve BD44A831ECF463756E106668AC877C6B66A2C0B954D13D6F311800E75E9C6678, organizasyonları bu imzalar için taramaya çağırıyor.
Github incelemelerinin bu depoları yıllarca kaçırdığı bildirildiğinden, olay kullanıcı uyanıklığını tamamlamak için platform düzeyinde statik analiz araçlarına duyulan ihtiyacı göstermektedir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here