26/02/25
Кампания, получившая название GitVenom, затрагивает сотни репозиториев и действует уже не менее двух лет.
Злоумышленники маскируют вредоносное ПО под инструменты для автоматизации работы с Instagram, ботов для управления биткоин-кошельками через Telegram и даже программу для взлома игры Valorant. Однако все заявленные функции фиктивны — вместо этого пользователи заражают свои устройства вредоносным кодом, который похищает персональные данные и подменяет скопированные в буфер обмена адреса криптокошельков.
По данным исследователей «Лаборатории Касперского», злоумышленники смогли украсть уже как минимум 5 биткоинов, что эквивалентно 456 600 долларов на момент публикации. Основные жертвы атаки зафиксированы в России, Бразилии и Турции, пишут в Securitylab.
Код вредоносных программ написан на разных языках, включая Python, JavaScript, C, C++ и C. Независимо от языка, их цель одна — загрузка и выполнение дополнительного вредоносного ПО с управляемых злоумышленниками репозиториев GitHub. Среди наиболее опасных модулей — инфостилер на базе Node.js, который собирает пароли, данные банковских карт, сохранённые учётные записи и историю браузера, после чего передаёт их в Telegram преступников.
Также обнаружено использование инструментов удалённого администрирования AsyncRAT и Quasar RAT, позволяющих злоумышленникам получать полный контроль над заражёнными устройствами. Кроме того, в распространённых проектах присутствует клиппер — программа, автоматически заменяющая скопированные адреса кошельков на реквизиты мошенников, перенаправляя средства в их пользу.
Эксперты подчёркивают, что злоумышленники активно используют популярные платформы, такие как GitHub, чтобы распространять вредоносное ПО под видом легитимных инструментов. Пользователям рекомендуется проявлять максимальную бдительность при загрузке кода из открытых репозиториев, тщательно проверяя, какие именно операции он выполняет.
Параллельно с этим исследователи из Bitdefender зафиксировали другую мошенническую схему , нацеленную на участников киберспортивных турниров. Киберпреступники взламывают YouTube-аккаунты и выдают себя за профессиональных игроков, таких как s1mple, NiKo и donk, чтобы заманить фанатов Counter-Strike 2 в фиктивные розыгрыши скинов. В результате пользователи теряют доступ к своим учётным записям Steam, криптовалютные активы и ценные внутриигровые предметы.
