Công ty an ninh mạng Kaspersky đã phát hiện một trong những phương pháp trộm cắp của hacker! Người dùng tại Thổ Nhĩ Kỳ cũng đang đối mặt nguy hiểm! Đây là chi tiết

Công ty an ninh mạng Kaspersky đã cảnh báo rằng các tội phạm mạng đang sử dụng các kho lưu trữ GitHub giả mạo để phát tán phần mềm độc hại đánh cắp Bitcoin (BTC) và các loại tiền điện tử khác.

Kaspersky, Cảnh báo Hacker Sử Dụng Mã GitHub Giả Mạo Để Ăn Cắp Bitcoin

The latest report from Kaspersky indicates that a malicious software campaign named 'GitVenom' has been active for at least two years and its presence on the popular code sharing platform GitHub is increasing.

Cuộc tấn công bắt đầu với các dự án mã nguồn mở có vẻ hợp pháp như các bot Telegram hoặc công cụ trò chơi để quản lý ví tiền điện tử, nhưng ẩn mã độc hại được thiết kế để đánh cắp tài sản tiền điện tử.

Làm thế nào GitVenom hoạt động?

Phần mềm độc hại đã được ẩn thông minh trong kho lưu trữ GitHub:

• Mỗi dự án có vẻ hợp pháp và thường bao gồm một tệp README do AI tạo ra để xây dựng lòng tin.
• Tuy nhiên, mã chứa các tập lệnh độc hại ẩn.
  • Trong các dự án dựa trên Python, kẻ tấn công ẩn phần mềm độc hại đằng sau 2.000 khoảng trống tab trong tập lệnh giải mã và chạy tải trọng độc hại. Trong các dự án dựa trên JavaScript, một chức năng giả mạo nhúng trong tệp chính kích hoạt một cuộc tấn công phần mềm độc hại.
• Sau khi được kích hoạt, phần mềm độc hại sẽ tải xuống các công cụ bổ sung từ các kho lưu trữ trên GitHub do hacker kiểm soát.

Làm thế nào để Đánh cắp Tiền điện tử?

Sau khi cài đặt GitVenom, nó sử dụng nhiều công cụ để đánh cắp dữ liệu người dùng nhạy cảm:

• Kẻ trộm mật khẩu và ví tiền điện tử dựa trên Node.js lấy mật khẩu đã lưu, chi tiết ví và lịch sử duyệt web, sau đó gửi chúng cho các hacker máy tính thông qua Telegram.
• Trojan truy cập từ xa như AsyncRAT và Quasar chiếm quyền điều khiển thiết bị của nạn nhân (RAT ler), ghi lại các lần gõ phím và chụp ảnh màn hình.
• Một hacker clipboard định tuyến lại các giao dịch tiền điện tử, thay thế các địa chỉ ví được sao chép (clipper) bằng địa chỉ của kẻ tấn công.
• Ví như vậy chỉ nhận 5 BTC (485.000 đô la từ quỹ bị đánh cắp vào tháng 11.

Kaspersky đã chỉ ra rằng GitVenom đặc biệt hoạt động tại Nga, Brazil và Thổ Nhĩ Kỳ, nhưng truy cập của họ là toàn cầu. Các kẻ tấn công sẽ tiếp tục hoạt động mà không bị phát hiện bằng cách mô phỏng việc phát triển hoạt động và liên tục thay đổi các chiến lược mã hóa để tránh phát hiện từ phần mềm diệt virus.

Làm Thế Nào Để An Toàn?

Kaspersky đề xuất cho các nhà phát triển và người dùng tiền điện tử những điều sau:

Hãy xem xét cẩn thận trước khi chạy mã.

Xác minh tính thực tế của bất kỳ dự án GitHub nào.

Hãy cẩn thận với những hướng dẫn README quá kỳ cục hoặc lịch sử cam kết không nhất quán.

Khi tăng vọt về các cuộc tấn công mạng, không có khả năng cao GitVenom sẽ biến mất. Kaspersky đã kết thúc lời nói của mình như sau: "Chúng tôi kỳ vọng rằng các cuộc tấn công này sẽ tiếp tục diễn ra trong tương lai, có thể sẽ có những thay đổi nhỏ về chiến thuật."