קמפיין זדוני פעיל
לפי הדו"ח, מזה כשנתיים פועלת קמפיין זדוני שמכונה "GitVenom", במסגרתו כותבים תוקפים קוד זדוני בפרויקטים מזויפים ב-GitHub. על פניו, מדובר בפרויקטים לגיטימיים ולרוב הם כוללים מסמכי README מהוקצעים המבוססים לעיתים על בינה מלאכותית, שמטרתם לטעת אמון בקרב המשתמשים.
תקיפה באמצעות קוד זדוני
התקיפות מתחילות באמצעות פרויקטים שמדמים יישומים כמו בוטי טלגרם לניהול ארנקים דיגיטליים או כלים למשחקי מחשב. עבור פרויקטים מבוססי Python, למשל, הקוד הזדוני מוסתר אחרי מספר גדול של טאבילים, שעם פיענוחם מופעלת תוכנה זדונית. בפרויקטים של JavaScript, פונקציות זדוניות מוספות לקובצי הקוד הראשיים כדי להפעיל את המתקפה.
פריצה והשתלטות על מערכות
לאחר שהמערכת נפרצת, מתחילה מתקפה שבה משוגרים כלים נוספים ממאגר GitHub אחר שבשליטת התוקפים. אחד מהכלים המשמשים את התוקפים הוא Node.js stealer, שאוסף סיסמאות, פרטי ארנקי קריפטו והיסטוריית גלישה ומשגר אותם למפעילי המתקפה באמצעות טלגרם. טרויאנים מסוג AsyncRAT ו-Quasar מאפשרים השתלטות מרחוק על המחשבים הנפגעים, ובכך לוגמים הקשות מקלדת וצילומי מסך.
שינוי כתובות והעברת כספים
בנוסף לכך, כלי נוסף שמכונה "clipper" נועד לשנות כתובות שהועתקו על ידי המשתמש לכתובות שבשליטת התוקפים, ובכך מתאפשר להם להמיר כספים למקום אחר. באחד המקרים הצליחו התוקפים לגנוב 5 ביטקוין, ששוויים בנובמבר עמד על 485,000 דולר.
ההתגוננות מפני התקפות עתידיות
הקמפיין עובד באפקטיביות במיוחד במדינות כאמור רוסיה, ברזיל וטורקיה, אך מתפשט ברחבי העולם כולו. התוקפים נמנעים מלהיתפס באמצעות שינויי קוד תכופים ותחזוקה שנותנת תחושה של פיתוח מתמשך לתוך הפרויקטים הזדוניים. חוסן והגנה מפני התקפות אלו דורשים בדיקת קוד קפדנית לפני שתבוצע הורדתו, אימות מקורו של הפרויקט והחרמת README שהינם מהוקצעים מדי או עם היסטוריית מחויבות לא עקבית.
מבט לעתיד
החוקרים מאמינים שהתקפות אלו לא יפסיקו בקרוב ועשויות אף להשתכלל. "אנו צופים שהלאה, ההתפתחויות בטקטיקות והטכנולוגיות של התוקפים תמשיך," זה מה שסיכמה חברת קספרסקי בדו"ח שלה. השמירה על ערנות ובחינה מעמיקה של קודים המשמשים לפיתוח היא אמצעי מרכזי במאבק כנגד פעילויות מסוג זה.
