وفقًا لتقرير صادر عن Kaspersky، فإن كود GitHub الذي تستخدمه لبناء تطبيق عصري أو تصحيح الأخطاء الموجودة قد يُستخدم لسرقة عملة البيتكوين (BTC) أو أي ممتلكات مشفرة أخرى.
يعد GitHub أداة شائعة بين المطورين من جميع الأنواع، ولكن أكثر من ذلك بين المشاريع التي تركز على التشفير، حيث قد يولد تطبيق بسيط ملايين الدولارات من الإيرادات.
حذر التقرير المستخدمين من حملة "GitVenom" التي كانت نشطة لمدة عامين على الأقل ولكنها في تزايد مستمر، وتتضمن زرع أكواد ضارة في مشاريع وهمية على منصة مستودع التعليمات البرمجية الشهيرة.
يبدأ الهجوم بمشاريع GitHub تبدو مشروعة – مثل إنشاء روبوتات Telegram لإدارة محافظ البيتكوين أو أدوات لألعاب الكمبيوتر.
يأتي كل منها مع ملف README مصقول، غالبًا ما يتم إنشاؤه بواسطة الذكاء الاصطناعي، لبناء الثقة. لكن الكود نفسه عبارة عن حصان طروادة: بالنسبة للمشاريع القائمة على Python، يخفي المهاجمون نصًا برمجيًا خبيثًا بعد سلسلة غريبة من 2000 علامة تبويب، والتي تقوم بفك تشفير وتنفيذ حمولة ضارة.
بالنسبة لـ JavaScript، يتم تضمين وظيفة غير قانونية في الملف الرئيسي، مما يؤدي إلى إطلاق هجوم الإطلاق. بمجرد تنشيطه، يقوم البرنامج الخبيث بسحب أدوات إضافية من مستودع GitHub منفصل يتم التحكم فيه بواسطة المتسللين.
(تنظم علامة التبويب التعليمات البرمجية، مما يجعلها قابلة للقراءة من خلال محاذاة السطور. والحمولة هي الجزء الأساسي من البرنامج الذي يقوم بالعمل الفعلي – أو الضرر، في حالة البرامج الضارة.)
بمجرد إصابة النظام، يتم تنشيط برامج أخرى مختلفة لتنفيذ الاستغلال. يقوم سارق Node.js بجمع كلمات المرور وتفاصيل محفظة التشفير وسجل التصفح، ثم يقوم بتجميعها وإرسالها عبر Telegram. تستولي أحصنة طروادة للوصول عن بعد مثل AsyncRAT وQuasar على جهاز الضحية، وتسجل ضغطات المفاتيح وتلتقط لقطات الشاشة.
كما تقوم أداة "القص" بتبادل عناوين المحافظ المنسوخة بعناوين المخترقين، وإعادة توجيه الأموال. وقد حققت إحدى هذه المحافظ 5 بيتكوين – بقيمة 485 ألف دولار في ذلك الوقت – في شهر نوفمبر/تشرين الثاني وحده.
يُعد GitVenom نشطًا منذ عامين على الأقل، وقد ضرب المستخدمين بشكل أكبر في روسيا والبرازيل وتركيا، على الرغم من أن انتشاره عالمي، وفقًا لشركة Kaspersky.
يواصل المهاجمون العمل بشكل خفي من خلال محاكاة التطوير النشط وتنويع تكتيكات الترميز الخاصة بهم للتهرب من برامج مكافحة الفيروسات.
كيف يمكن للمستخدمين حماية أنفسهم؟ من خلال التدقيق في أي كود قبل تشغيله، والتحقق من صحة المشروع، والشك في ملفات README المصقولة بشكل مفرط أو سجلات الالتزام غير المتسقة.
لأن الباحثين لا يتوقعون أن تتوقف هذه الهجمات في أي وقت قريب: "نتوقع أن تستمر هذه المحاولات في المستقبل، ربما مع تغييرات صغيرة في الإجراءات والتكتيكات"، كما خلصت كاسبيرسكي في منشورها.
