Siber güvenlik firması Kaspersky, siber suçluların Bitcoin (BTC) ve diğer kripto paraları çalan kötü amaçlı yazılımları yaymak için sahte GitHub depolarını kullandığı uyarısında bulundu.
Kaspersky, Hackerların Bitcoin Çalmak İçin Sahte GitHub Kodu Kullandığı Uyarısında Bulundu
Kaspersky’nin son raporuna göre, “GitVenom” olarak adlandırılan bir kötü amaçlı yazılım kampanyası en az iki yıldır aktif ve popüler kod paylaşım platformu GitHub’daki varlığı giderek artıyor.
Saldırı, kripto cüzdanlarını yönetmek için Telegram botları veya oyun araçları gibi görünüşte meşru açık kaynaklı projelerle başlar, ancak kripto varlıklarını çalmak için tasarlanmış kötü amaçlı kodları gizler.
GitVenom Nasıl Çalışır?
Kötü amaçlı yazılım GitHub depolarında akıllıca gizlenmiştir:
- Her proje meşru görünür ve genellikle güven oluşturmak için yapay zeka tarafından oluşturulmuş bir README dosyası içerir.
- Ancak, kod gizli kötü amaçlı komut dosyaları içeriyor.
- Python tabanlı projelerde saldırganlar, kötü amaçlı bir yükün şifresini çözen ve çalıştıran komut dosyasındaki 2.000 boş sekme boşluğunun arkasına kötü amaçlı yazılım gizler.
- JavaScript tabanlı projelerde, ana dosyaya gömülü sahte bir işlev kötü amaçlı yazılım saldırısını tetikler.
- Etkinleştirildikten sonra, kötü amaçlı yazılım hacker kontrolündeki GitHub depolarından ek araçlar indirir .
Kripto Nasıl Çalınır?
GitVenom yüklendikten sonra hassas kullanıcı verilerini çalmak için birden fazla araç kullanır:
- Node.js tabanlı parola ve kripto cüzdan hırsızları saklanan parolaları, cüzdan ayrıntılarını ve tarama geçmişini çıkarır, ardından bunları Telegram aracılığıyla bilgisayar korsanlarına gönderir.
- AsyncRAT ve Quasar gibi uzaktan erişim truva atları (RAT’ler) kurbanın cihazını ele geçirerek tuş vuruşlarını kaydeder ve ekran görüntülerini yakalar.
- Bir pano korsanı (clipper) kopyalanan cüzdan adreslerini saldırganınkilerle değiştirerek kripto para işlemlerini yeniden yönlendirir.
- Böyle bir cüzdan yalnızca Kasım ayında çalınan fonlardan 5 BTC (485.000 dolar) aldı.
Kaspersky, GitVenom’un özellikle Rusya, Brezilya ve Türkiye’de aktif olduğunu, ancak erişiminin küresel olduğunu belirtti. Saldırganlar, antivirüs tespitinden kaçmak için aktif geliştirmeyi taklit ederek ve kodlama taktiklerini sürekli değiştirerek tespit edilmeden kalırlar.
Nasıl Güvende Kalınır?
Kaspersky, geliştiricilere ve kripto kullanıcılarına şunları tavsiye ediyor:
Kodu çalıştırmadan önce dikkatlice inceleyin.
Herhangi bir GitHub projesinin gerçekliğini doğrulayın.
Aşırı abartılı README’lere veya tutarsız taahhüt geçmişlerine karşı dikkatli olun.
Siber saldırılar artarken GitVenom’un ortadan kalkması pek olası değil. Kaspersky sözlerini şöyle sonlandırdı: “Bu saldırıların gelecekte de devam etmesini bekliyoruz, muhtemelen taktiklerde küçük değişiklikler olacak.”
*Yatırım tavsiyesi değildir.
(っ◔◡◔)っ ♥ KAYNAK ♥
