La société de cybersécurité Kaspersky a révélé l'une des méthodes de vol des pirates informatiques! Les utilisateurs en Turquie sont également en danger! Voici les détails

La société de cybersécurité Kaspersky a averti que les cybercriminels utilisent de faux dépôts GitHub pour propager des logiciels malveillants volant Bitcoin (BTC) et d'autres crypto-monnaies.

Kaspersky a averti que les pirates informatiques utilisaient un faux code GitHub pour voler des Bitcoins

Selon le dernier rapport de Kaspersky, une campagne de logiciels malveillants appelée "GitVenom" est active depuis au moins deux ans et sa présence sur la plateforme de partage de code GitHub, de plus en plus populaire, ne cesse de croître.

Les attaques commencent par des projets open source apparemment légitimes tels que des bots Telegram ou des outils de jeu pour gérer les portefeuilles de cryptomonnaie, mais dissimulent des codes malveillants conçus pour voler des actifs cryptographiques.

Comment fonctionne GitVenom ?

Le logiciel malveillant a été habilement dissimulé dans les dépôts GitHub.

• Chaque projet semble légitime et contient généralement un fichier README créé par intelligence artificielle pour établir la confiance.
• Cependant, le code contient des scripts malveillants cachés. Les attaquants dans les projets basés sur Python cachent des logiciels malveillants derrière 2 000 espaces vides dans le script qui décrypte et exécute une charge malveillante.
  • Dans les projets basés sur JavaScript, une fausse fonction intégrée dans le fichier principal déclenche une attaque de logiciel malveillant.
• Une fois activé, le logiciel malveillant télécharge des outils supplémentaires à partir de référentiels GitHub contrôlés par des pirates.

Comment le Crypto est-il volé?

Une fois que GitVenom est chargé, il utilise plusieurs outils pour voler des données sensibles des utilisateurs:

• Les voleurs de mots de passe et de portefeuilles cryptographiques basés sur Node.js extraient les mots de passe stockés, les détails du portefeuille et l'historique de navigation, puis les envoient aux pirates informatiques via Telegram. Les chevaux de Troie d'accès à distance tels que AsyncRAT et Quasar prennent le contrôle de l'appareil de la victime et enregistrent les frappes clavier et capturent des captures d'écran.
• Un pirate de panneau clipper( ) remplace les adresses de portefeuille copiées par celles de l'attaquant pour rediriger les transactions de crypto-monnaie.
• Ce portefeuille n'a reçu que 5 BTC de fonds volés en novembre, soit (485.000 dollars).

Kaspersky a noté que GitVenom est particulièrement actif en Russie, au Brésil et en Turquie, mais a souligné que son accès est mondial. Les assaillants restent non détectés en imitant le développement actif pour échapper à la détection des antivirus et en modifiant constamment les tactiques de codage.

Comment rester en sécurité?

Kaspersky conseille aux développeurs et aux utilisateurs de crypto ce qui suit :

Examinez attentivement le code avant de l'exécuter.

Vérifiez l'authenticité de n'importe quel projet GitHub.

Faites attention aux READMEs excessivement exagérés ou aux engagements passés incohérents.

Avec l’augmentation des cyberattaques, il est peu probable que GitVenom disparaisse. « Nous nous attendons à ce que ces attaques se poursuivent à l’avenir, peut-être avec de légers changements de tactique », a conclu Kaspersky.