セキュリティ企業カスペルスキーによると、ハッカーは、ユーザーを騙して暗号通貨と資格情報を盗むために数百の偽のGitHubプロジェクトを作成しています。2月24日にリリースされたレポートによると、カスペルスキーアナリストのゲオルギー・クチェリンによると、同社が「GitVenom」とラベル付けしたマルウェアキャンペーンでは、ハッカーがGitHub上で数百のリポジトリを作成し、リモートアクセストロイの(RATs)や情報盗聴者、クリップボードハイジャッカーをホストしています。
ハッカーは被害者に偽のBitcoinウォレットを提供します
TelegramボットはBitcoinウォレットを管理し、ツールはInstagramアカウントの相互作用を自動化します。どちらも偽物です。「よく設計された」情報と指示ファイルが含まれており、「おそらくAIツールを使用して生成されたもの」ですとKucherin氏は述べました。クチェリン氏はまた、マルウェア製作者が「プロジェクトを実際に見せるために非常に手間をかけた」と述べています。悪意のあるプロジェクトの背後にいる人々は、プロジェクトが積極的に改善されている印象を与えるために、特定の変更の複数の参照を追加し、また「コミット」の数やプロジェクトへの変更についても嘘をつきました。そのために、これらのリポジトリにタイムスタンプファイルを配置し、数分ごとに変更を加えました。
カスペルスキーは、これらのプロジェクトが一般的に「意味のないアクションを実行した」と発見しました。なぜなら、指示書や説明ファイルで議論されている機能を適用していなかったからです。
Kasperskyは、少なくとも2年前にいくつかの偽のプロジェクトを発見し、ハッカーがしばらくの間被害者を引き付けていたため、長い間同じ「感染ベクトル」を使用してきました。Kucherin氏によると、すべての偽のプロジェクトには、保存された認証情報、ビットコインウォレットデータ、閲覧履歴を送信し、Telegramを介してハッカーにアップロードする情報窃取マルウェアなどの部品をダウンロードする「悪意のあるペイロード」があります。
ハッカーは偽のTelegramボットを使用して人々をだます
Kucherin氏によると、昨年11月、ハッカーが管理するウォレットが5ビットコイン(現在の約442,000ドル相当)を入手した際、あるユーザーがこれらの悪意のあるアプリに捕まりました。Kasperskyは、このGitVenomキャンペーンはロシア、ブラジル、トルコのユーザーを標的にしていると報告していますが、現在は世界中に広がっています。Kucherin氏によると、世界中の何百万人もの開発者がGitHubなどのコード共有サイトを使用しているため、これらの脅威アクターは偽のソフトウェアを使用してマルウェアを拡散し続けるとのことです。Kucherin氏は、何かをダウンロードする前に、サードパーティのコードの動作を確認することを提案しています。また、攻撃者が手法、技術、手順に「小さな変更を加える可能性もある」と予想していると付け加えました。
