Kriptopénz lopó malware terjesztése a GitHub segítségével

Yanac April 11, 2024April 11, 2024 GitHub, Keyzetsu, Kriptovaluta, Malware

Kiberbiztonsági kutatók egy kifinomult malware-kampányt fedeztek fel, amely a GitHub automatizálási funkcióit és a rosszindulatú Visual Studio projekteket használja ki a “Keyzetsu” clipboard-hijacking malware új változatának terjesztésére, amelynek célja a kriptovaluta kifizetések ellopása. A támadók stratégiailag olyan nevű GitHub-tárhelyeket hoznak létre, amelyek valószínűleg magasan szerepelnek a keresési eredményekben, és olyan taktikákat alkalmaznak, amelyekkel mesterségesen növelik népszerűségüket. Ez a manipuláció magában foglalja a GitHub Actions használatát a tárolók tartalmának gyakori frissítésére, valamint hamis GitHub-fiókok létrehozását, amelyekkel ezeket a tárolókat indítják, a megbízhatóság megtévesztő látszatát keltve.

Maga a kártevő zseniálisan el van rejtve a Visual Studio projektfájljaiban, pontosabban a build eseményekben, amelyek a projekt fordításának különböző szakaszaiban végrehajtott parancsok halmazai. Az észlelt rosszindulatú tevékenység magában foglalja egy olyan szkript végrehajtását a build folyamat során, amelynek célja több művelet végrehajtása, például az ideiglenes fájlok törlése, a felhasználó tartózkodási helyének meghatározása, valamint titkosított fájlok letöltése és végrehajtása a földrajzi hely alapján, különös tekintettel az oroszországi rendszerek elkerülésére. A kampány 2024. április 3-tól kezdődően egy nagyméretű (750 MB) futtatható fájlt terjeszt, amelyet ügyesen kitöltöttek nullákkal, hogy elkerüljék a biztonsági keresőeszközök, például a VirusTotal észlelését, a “feedbackAPI.exe” álcája alatt. Ez a hasznos teher végrehajtás után vágólap-nyíróként működik, figyeli a Windows vágólapját kriptopénz tárcacímek után, és azokat a támadók által ellenőrzött címekkel helyettesíti, így a fizetéseket a támadókhoz irányítja.

Ez a fajta támadás kiemeli a fenyegető szereplők kifinomultságát és kreativitását a társadalmi mérnöki és technikai sebezhetőségek kihasználásában, hogy rosszindulatú tevékenységüket végrehajtsák. Az olyan népszerű és megbízható platformokra való támaszkodás, mint a GitHub, a rosszindulatú szoftverek befogadására és terjesztésére, rávilágít a szoftverellátási láncok biztosításának kihívásaira. A felhasználók és a fejlesztők számára éberség ajánlott, különösen a tárolási tevékenységek és a hozzájárulások hitelességének vizsgálata terén, hogy megóvják magukat a hasonló ellátási lánctámadásoktól.

(forrás)