現代的程式開發者在GitHub儲存庫上尋找開源的編碼已經成為常態,不過同時也吸引了網絡犯罪份子的興趣,利用這個全球最佳免費開源編碼集中地作為誘餌,而最新針對GitHub用戶的惡意活動就是GitVenom。
甚麼是GitVenom?
GitVenom是不知名幕後黑手創作超過200個含有假惡意編碼假project的儲存庫,當中包括Telegram機械人、破解遊戲《Valorant》的工具、Instagram自動化工具、Bitcoin錢包管埋等等,表面看來全部儲存庫看似合法,尤其是精心製作的README.MD檔案,介紹編碼的使用方法,具備多種語言的詳細的指引,攻擊者更在他們的儲存庫加入多個tag。
大量提交令這些儲存庫看起來更加看似合法,但攻擊者並不會手動更新這200個儲存庫,而是每隔數分新更新一次時間戳檔案的手法,混合詳細文件和大量提交製造了編碼可以安全使用的假象。
兩年間的活動
GitVenom其實已經活躍了一段時間,被發現的最舊的儲存庫是2年前,而GitVenom影響俄羅斯、巴西、土耳其等國家的開發者,攻擊者採用了多種程式語言,惡意編碼中找到Python、JavaScript、C、C#和C++。而這些project中的README檔案描述,與實際的功能完全不符,實際功能連聲稱的功能也不到,也因此受害者最終下載了惡意元件,包括:
- Node.js盜竊工具,收集用戶名稱和密碼、加密錢包數據、瀏覽記錄等,盜竊資料後會壓縮成.7z檔,再經Telegram傳送到攻擊者手上。
- AsyncRAT遙距存取木馬,這是一款開源的遙距管理木馬程式,同時具備keylogger功能。
- Quasar開源後門程式
- Clipper,搜尋剪貼板上加密錢包地址,再以黑客控制的地址取代,在2024年11月,黑客在攻擊中使用的錢包收到一次性的款項5個BTC。
防範GitHub上的惡意編碼
簡單而言,最佳的防範就是提高警覺,由於大量開發者使用GitHub,相信攻擊者仍會繼續在這個受歡迎的平台,不過犯罪份子的攻擊手法持續轉變,所以開發者在使用GitHub時時刻保持資安的衛生。
- 在加入到project前先分析編碼
- 在電腦和智能電話上使用防護方案
- 仔細檢查不顯眼的指標,例如提供者帳號,星星數量,project創建日期等等。
- 不要從聊天、可疑頻道或未經核實網站的直接GitHub連結下載檔案。
- 如發現可疑儲存庫,向GitHub報告。
資料來源:Kaspersky Blog
