Вредоносный код в GitHub: как хакеры атакуют программистов

Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами, и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными) они просто берут уже готовый велосипед код из открытого репозитория в GitHub.

Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный, самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много, и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.

Что такое GitVenom

Так мы назвали вредоносную кампанию, в ходе которой неизвестными были созданы более 200 репозиториев, содержащих фейковые проекты с вредоносным кодом: боты для Telegram, инструменты для взлома игры Valorant, автоматизации действий в Instagram и управления кошельками Bitcoin. На первый взгляд все репозитории выглядят легитимно, особенно выделяется хорошо оформленный файл-гайд по работе с кодом README.MD с подробными инструкциями на нескольких языках мира.

Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках

Еще один признак легитимности репозиториев — большое количество коммитов. В репозиториях злоумышленников их очень много — десятки тысяч. Разумеется, они не обновляли для правдоподобности каждый из двух сотен репозиториев, а попросту поместили в них файлы с временными метками, которые обновлялись каждые несколько минут. Но сочетание хорошо проработанной документации и множества коммитов создает у разработчиков иллюзию, что с кодом тут все в порядке и его абсолютно безопасно использовать.

GitVenom активен как минимум два года

Кампания была запущена уже давно: самому старому из обнаруженных нами поддельных репозиториев около двух лет. За это время жертвами GitVenom стали разработчики из России, Бразилии, Турции и других стран. Злоумышленники охватили широкий спектр языков программирования: вредоносный код был обнаружен в репозиториях на Python, JavaScript, C, C# и C++.

Что касается функциональности поддельного кода, то описанные в файле-инструкции возможности реализованы не были — в реальности код не делает и половины заявленного. Но «благодаря» ему на компьютерах жертв оказываются вредоносные компоненты из репозитория злоумышленников на GitHub.

• Node.js — стилер, который собирает логины и пароли, данные криптовалютных кошельков, историю просмотров браузера, упаковывает украденные данные в архив .7z и отправляет злоумышленникам через Telegram.
• AsyncRAT — троян для удаленного администрирования устройства жертвы с открытым исходным кодом, который может работать в том числе и как кейлоггер.
• Quasar — бэкдор с открытым исходным кодом.
• Клиппер, который ищет в содержимом буфера обмена адреса криптовалютных кошельков и заменяет их на контролируемые злоумышленниками. Примечательно, что в ноябре 2024 года на используемый в этой атаке хакерский кошелек одномоментно упало около пяти биткойнов (примерно $485 000 долларов США на момент исследования).

О деталях этой вредоносной кампании вы можете узнать из полного текста нашего исследования, опубликованного на SecureList.

Как защититься от вредоносного кода на GitHub

Если коротко, то лучший способ защиты — внимательность. Поскольку GitHub используют более 100 млн разработчиков, злоумышленники наверняка продолжат распространять вредоносный код с помощью этой популярной платформы. Вопрос только в том, как именно они будут это делать, — еще десять лет назад никто не догадывался, что атакующим удастся вести кампании вроде GitVenom так долго и упорно. Поэтому каждому разработчику необходимо соблюдать правила кибергигиены при работе с GitHub.

• Анализируйте код прежде, чем интегрировать его в существующий проект.
• Используйте защиту от вредоносного ПО на компьютерах и смартфонах.
• Тщательно проверяйте косвенные признаки: аккаунты контрибьюторов, количество звезд (лайков), дату создания. Скорее всего, если аккаунт создан три дня назад, репозиторий — два, а красуется там одна звезда, то с большой долей вероятности можно сказать, что внутри будет вредоносный код.
• Не скачивайте файлы по прямым ссылкам на GitHub, которые опубликованы в чатах, подозрительных каналах или непроверенных сайтах.
• При обнаружении подозрительного репозитория, сообщите в GitHub — это может спасти несколько чужих устройств без надежной защиты.