Açık kaynaklı işbirliğinin yazılım inovasyonunu yönlendirdiği bir dönemde, Gitvenom olarak adlandırılan sofistike bir siber kampanya geliştiriciler için kritik bir tehdit olarak ortaya çıktı.
Güvenlik araştırmacıları, meşru projeler olarak maskelenerek bilgi çalma makinelerini ve uzaktan erişim truva atlarını (sıçanlar) dağıtmak için tasarlanmış 200’den fazla kötü amaçlı GitHub depolarını ortaya çıkardılar.
Yaklaşık iki yıl boyunca aktif olan bu depolar, geliştiricilerin sistemlere sızmak ve kripto para birimi cüzdanları ve tarayıcı kimlik bilgileri de dahil olmak üzere hassas verileri dışarı atmak için açık kaynaklı platformlara güvenmektedir.
Gitvenom kampanyası, çok dilli kurulum kılavuzları ve özellik açıklamaları ile tamamlanan ikna edici ReadMe.md dosyaları oluşturmak için AI tarafından oluşturulan belgelerden yararlanır.
Saldırganlar, otomatik zaman damgası güncellemeleri aracılığıyla yapay olarak depo güvenilirliğini şişirerek sık taahhütleri simüle eder.
Örneğin, Python tabanlı projeler, kötü niyetli bir Python komut dosyasını şifresini çözen ve çalıştıran kodun ardından uzun bir sekme karakter dizisi izler.
Bu komut dosyası, saldırgan kontrolündeki bir GitHub deposundan ek kötü amaçlı yazılım getiren bir yükü çözer ve yürütür.
JavaScript projeleri, kötü amaçlı komut dosyalarını çözmek için baz64 kodlu işlevleri gömürken, C/C ++/C# depoları, Visual Studio proje dosyalarındaki toplu komut dosyalarını gizleyerek yapılar sırasında yük dağıtımını tetikler.
Kötü amaçlı yazılım yükleri ve finansal etki
Node.js Stealer: Hasat kimlik bilgileri, kripto para birimi cüzdan verileri (örn. Metamask) ve tarayıcı geçmişleri, bunları telgraf botları aracılığıyla ortaya çıkarılan .7Z arşivlerine sıkıştırır.
Asyncrat ve Quasar: Uzaktan komut yürütme, ekran yakalama ve keyloglama sağlayan açık kaynaklı sıçanlar. 68.81’de komut ve kontrol (C2) sunucuları[.]155 Saldırılar.
Pano Koruma: Kripto para birimi adreslerini saldırgan kontrollü cüzdanlarla değiştirerek pano aktivitesini izler. Bir Bitcoin Adresi (BC1QTXLZ2M6R[…]YSPZT) Kasım 2024’te 5 BTC (~ 485.000 $) aldı.
Kaspersky’nin telemetrisi, Rusya, Brezilya ve Türkiye’de yoğunlaşan enfeksiyonları ortaya çıkarır, ancak küresel hedefleme kampanyanın ölçeklenebilirliğini vurgular.
Gitvenom depoları, geliştiricileri cezbetmek için valorant hileleri ve telgraf bot entegrasyonları gibi popüler araçları taklit eder.
Saldırganlar GitHub’ın çatal mekanizmasını kullanır, meşru projeleri klonlar ve forumlar ve sosyal kanallar aracılığıyla yeniden dağıtılmadan önce gizlenmiş kötü amaçlı yazılımları enjekte eder.
GitHub’ın otomatik yayından kaldırmalarına rağmen, APIIRO araştırmacıları, kötü amaçlı depoların% 1’inin tespitten kaçındığını ve binlerce kişiyi enfekte edecek kadar devam ettiğini belirtiyor.
Geliştiriciler için azaltma stratejileri
Bu tehditlere karşı koymak için geliştiriciler katı kod inceleme uygulamalarını benimsemelidir:
- Aşırı beyaz alan veya gizlenmiş işlevler gibi anomaliler için üçüncü taraf kodunu denetleyin.
- Katkıda bulunan tarihi, yıldız sayımlarını ve oluşturma tarihlerini kontrol ederek depo özgünlüğünü doğrulayın. Seyrek aktivite sinyali potansiyel sahtekarlığı olan yeni hesaplar.
- Yetkisiz .7Z arşiv oluşturma veya Telegram API’lerine beklenmedik ağ bağlantıları gibi şüpheli işlemleri kesmek için uç nokta algılama araçlarını dağıtın.
Rapora göre Github, otomasyon karşıtı önlemlerini yoğunlaştırdı, ancak manuel raporlama kritik olmaya devam ediyor. Şüpheli depolarla karşılaşan kullanıcılar, kötü amaçlı yazılım yaşam döngüsünü bozmak için GitHub’ın raporlama sistemi üzerinden işaretlemelidir.
Geliştiriciler, verimliliği güvenlik ile dengelemeli ve ithal edilen her kod satırının titiz bir incelemeye maruz kalmasını sağlamalıdır.
Kripto para birimi hırsızlığı ve bu operasyonları körükleyen kimlik bilgisi hasadı ile proaktif savunma – reaktif azaltma değil – bir sonraki siber güvenlik çağını tanımlayacaktır.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun