I criminali informatici hanno avviato un attacco sofisticato che prende di mira gli utenti di GitHub. Stanno utilizzando repository falsi per diffondere malware che rubano dati personali e criptovaluta. Kaspersky , una società di sicurezza, ha identificato più di 200 repository che ingannano sviluppatori e commercianti ignari presentandosi come progetti open source legittimi.
Repository ingannevoli inondano GitHub
Gli autori di questo schema hanno progettato i loro repository per sembrare credibili, spesso descrivendoli come soluzioni per automatizzare le interazioni su Instagram o gestire i portafogli Bitcoin. Questi progetti fasulli mirano a convincere i consumatori della loro autenticità utilizzando descrizioni professionali, aggiornamenti regolari e documentazione prodotta meticolosamente.
Le vittime che cadono nella trappola installano malware da questi repository fraudolenti. I file infetti contengono trojan di accesso remoto (RAT), dirottatori degli appunti e software di estrazione dati, che consentono agli aggressori di recuperare la cronologia del browser, i dettagli del portafoglio di criptovaluta e le credenziali di accesso.
Avviso malware GitHub
Il nostro Global Research & Analysis Team (GReAT) ha scoperto GitVenom, una campagna #malware furtiva e in più fasi che sfrutta codice open source. I repository infetti hanno preso di mira i #giocatori e gli investitori in #criptovaluta , dirottando portafogli e sottraendo $485.000 in #Bitcoin .
Ottieni… pic.twitter.com/YhZJbSHCBV
— Kaspersky (@kaspersky) 26 febbraio 2025
Il malware invia dati rubati tramite Telegram
Una volta installato, il malware invia i dati catturati agli hacker tramite Telegram. Gli aggressori utilizzano questa app di messaggistica protetta per ottenere informazioni sensibili pur rimanendo non rilevabili. In alcuni casi, il malware altera le informazioni degli appunti, causando il reindirizzamento delle transazioni di criptovaluta ai portafogli controllati dagli hacker.
La portata dell’operazione è motivo di preoccupazione. Secondo Kaspersky, a seguito dell'hacking un utente ha perso 5 Bitcoin, per un valore di circa 442.000 dollari. Kaspersky ha monitorato numerosi incidenti avvenuti in diversi paesi: Russia, Brasile e Turchia sono i più gravemente colpiti.
Il GitVenom
In un rapporto del 24 febbraio, l'analista di Kaspersky Georgy Kucherin ha dichiarato che gli hacker avevano creato centinaia di repository su GitHub contenenti progetti fittizi che contengono trojan di accesso remoto (RAT), ladri di informazioni e dirottatori di appunti come parte dell'operazione malware, che la società ha chiamato "GitVenom".
Kucherin ha aggiunto che i creatori del malware hanno fatto uno sforzo enorme per rendere legittimi i progetti includendo file di istruzioni ben progettati che potrebbero essere stati generati con l'uso di programmi di intelligenza artificiale.
Estrema cautela è d'obbligo
Kaspersky ha esortato gli utenti a "essere estremamente cauti nel scaricare codice da GitHub". Se si desidera ridurre la possibilità di diventare vittime di tali attacchi, è essenziale adottare le massime misure di sicurezza. Ciò potrebbe comportare la scansione dei file scaricati alla ricerca di virus, l'evitare repository con bassa attività o date di creazione recenti e la revisione e la verifica della cronologia dei proprietari dei repository.
Con l’emergere di nuove minacce informatiche, gli utenti devono essere vigili nel proteggere i propri oggetti di valore. Le moderne tecniche di ingegneria sociale e phishing sono sufficientemente sofisticate da superare in astuzia anche i programmatori più esperti. Per ridurre la possibilità di potenziali minacce in futuro, è ideale rimanere consapevoli e mantenere rigorosi protocolli di sicurezza.
Immagine in primo piano di Gemini Imagen, grafico di TradingView