Penggodam sedang mencipta ratusan projek palsu di GitHub dengan tujuan menipu pengguna agar memuat turun perisian jahat yang mencuri kripto dan kredensial, kata firma keselamatan siber Kaspersky.

Analis Kaspersky, Encik Georgy Kucherin, menyatakan dalam laporan pada 24 Februari bahawa kempen perisian jahat yang diberi nama "GitVenom" ini melibatkan penggodam mencipta ratusan repositori di GitHub yang memuatkan projek palsu yang mengandungi trojan akses jauh (RAT), pencuri maklumat dan pencuri clipboard.

Antara projek palsu yang dicipta termasuk bot Telegram yang menguruskan dompet Bitcoin dan alat untuk mengautomatikkan interaksi akaun Instagram.

Kucherin menambah bahawa pembuat perisian jahat ini "berusaha sebaik mungkin" untuk menjadikan projek-projek tersebut kelihatan sah dengan menyertakan fail maklumat dan arahan yang "direka dengan baik" yang mungkin dihasilkan menggunakan alat AI.

Pihak yang bertanggungjawab terhadap projek-projek berbahaya ini juga secara buatan meningkatkan jumlah "commit" atau perubahan kepada projek, serta menambahkan rujukan berkali-kali kepada perubahan tertentu untuk memberikan kesan bahawa projek tersebut sedang diperbaiki secara aktif.

"Untuk melakukan itu, mereka meletakkan fail cap masa di repositori ini yang dikemaskinikan setiap beberapa minit."

Contoh fail arahan yang "direka dengan baik" yang disertakan dalam apa yang dipaparkan sebagai permainan pertaruhan. Sumber: Kaspersky

"Jelas, dalam merancang projek palsu ini, pelaku-pelaku ini berusaha sebaik mungkin untuk menjadikan repositori-repositori ini kelihatan sah kepada sasaran-sasaran yang berpotensi," kata Kucherin dalam laporan tersebut.

Projek-projek tersebut tidak melaksanakan ciri-ciri yang dibincangkan dalam fail arahan dan penjelasan, dengan Kaspersky mendapati bahawa projek-projek tersebut kebanyakannya "melakukan tindakan yang tidak bermakna."

Semasa penyiasatannya, Kaspersky menemui beberapa projek palsu yang bermula sekurang-kurangnya dua tahun lalu dan mengesyaki "vektor jangkitan ini mungkin sangat berkesan" kerana penggodam telah menarik mangsa untuk masa yang agak lama.

Tanpa mengira bagaimana projek palsu itu mempersembahkan dirinya, Kucherin berkata mereka semua mempunyai "muatan jahat" yang memuat turun komponen seperti pencuri maklumat yang mengambil kredensial yang disimpan, data dompet kripto, dan sejarah pelayaran, dan mengunggahkannya kepada penggodam melalui Telegram.

Komponen berbahaya lain menggunakan pencuri clipboard yang mencari alamat dompet kripto dan menggantikannya dengan alamat yang dikawal oleh penyerang.

Kucherin berkata aplikasi jahat ini berjaya menarik sekurang-kurangnya seorang pengguna pada bulan November apabila dompet yang dikawal oleh penggodam menerima 5 Bitcoin (BTC), yang kini bernilai kira-kira $442,000.

Perisian jahat mengumpul maklumat seperti kredensial yang disimpan, data dompet kripto, dan sejarah pelayaran, kemudian mengunggahkannya kepada penggodam melalui Telegram. Sumber: Kaspersky

Kempen GitVenom telah diperhatikan di seluruh dunia tetapi memberi tumpuan yang tinggi kepada pengguna dari Rusia, Brazil, dan Turki, menurut Kaspersky.

Berkaitan: Kerugian ransomware turun 35% tahun demi tahun: Chainalysis

Kucherin berkata kerana platform berkongsi kod seperti GitHub digunakan oleh jutaan pembangun di seluruh dunia, pelaku ancaman akan terus menggunakan perisian palsu sebagai umpan jangkitan.

Beliau menasihatkan bahawa adalah penting untuk memeriksa tindakan apa yang dilakukan oleh kod pihak ketiga sebelum memuat turun.

Kucherin menambah bahawa syarikat tersebut menjangka penggodam akan terus menerbitkan projek-projek berbahaya, tetapi "mungkin dengan perubahan kecil" dalam taktik, teknik, dan prosedur mereka.

Majalah: Pretasi 'kawalan minda' paus ETH $6.8 juta, pencurian kuasa Bitcoin: Asia Express