GitHub’da GitVenom adı verilen yeni bir siber saldırı kampanyası kapsamında, oyuncuları ve kripto yatırımcılarını hedef alan çok aşamalı kötü amaçlı yazılımlar içeren yüzlerce açık kaynak deposu keşif edildi.
Virüs bulaşan projeler arasında Instagram hesaplarıyla etkileşime yönelik bir otomasyon aracı, Bitcoin cüzdanlarının uzaktan yönetilmesini sağlayan bir Telegram botu ve Valorant oyununu oynarken kullanılan bir crack aracı bulunuyor.
Bu depolar, geliştiricilerin kodlarını yönetmelerine ve paylaşmalarına olanak tanıyan bir platform olan GitHub‘da birkaç yıldır saklanıyordu. Saldırganlar, muhtemelen yapay zeka ile oluşturulmuş ilgi çekici proje açıklamaları kullanarak GitHub’daki depoların potansiyel hedeflere meşru görünmesini sağlamaya çalıştılar. Bu depolardaki kodlar çalıştırıldığında, kurbanın cihazına kötü amaçlı yazılım bulaşıyor ve saldırganlar tarafından uzaktan kontrol edilebiliyordu.
Projeler Python, JavaScript, C, C++ ve C# gibi birden fazla programlama dilinde yazılmış olsa da, virüslü projelerin içinde depolanan kötü amaçlı yüklerin amacı aynıydı: Saldırganların kontrolündeki GitHub deposundan diğer kötü amaçlı bileşenleri indirmek ve bunları çalıştırmak. Bu bileşenler arasında şifreleri, banka hesap bilgilerini, kayıtlı kimlik bilgilerini, kripto para cüzdanı verilerini ve tarama geçmişini toplayan, bunları bir .7z arşivine paketleyen ve Telegram aracılığıyla yükleyen bir hırsızlık aracı yer alıyor.
İndirilen diğer zararlı bileşenler arasında, güvenli şifreli bir bağlantı aracılığıyla kurbanın bilgisayarını uzaktan izlemek ve kontrol etmek için kullanılabilen uzaktan yönetim araçları ve pano içeriğinde kripto para cüzdanı adreslerini arayan ve bunları saldırganın kontrol ettiği adreslerle değiştiren bir pano korsanı bulunuyor. Saldırgan tarafından kontrol edilen Bitcoin cüzdanı, Kasım 2024’te yaklaşık 5 BTC (araştırma sırasındaki değeri yaklaşık 485 bin dolar) tutarında bir meblağ aldı.
