Codice dannoso su GitHub: in che modo gli hacker prendono di mira i programmatori

Abbiamo scoperto oltre 200 archivi con progetti falsi su GitHub. Utilizzandoli, gli autori degli attacchi distribuiscono programmi stealer, clipper e backdoor.

Abbiamo scoperto oltre 200 archivi con progetti falsi su GitHub. Utilizzandoli, gli autori degli attacchi distribuiscono programmi stealer, clipper e backdoor.

Riesci a immaginare un mondo in cui ogni volta che vuoi andare da qualche parte devi reinventare la ruota e costruire una bicicletta da zero? È difficile crederci. Perché reinventare qualcosa che già esiste e funziona perfettamente? La stessa logica si applica alla programmazione: gli sviluppatori affrontano compiti di routine ogni giorno e, invece di inventare le proprie ruote e biciclette (che potrebbero anche non essere all’altezza), prendono semplicemente il codice già pronto dagli archivi open source di GitHub.

Questa soluzione è accessibile a chiunque, compresi i criminali che usano il miglior codice open source gratuito del mondo come esca per i loro attacchi. Ci sono molte prove a sostegno di questa tesi, ed ecco l’ultima: i nostri esperti hanno scoperto una campagna dannosa attiva, GitVenom, che prende di mira gli utenti di GitHub.

Cos’è GitVenom?

GitVenom è il nome che abbiamo dato a questa campagna dannosa, in cui attori sconosciuti hanno creato oltre 200 archivi contenenti progetti falsi con codice dannoso: bot Telegram, strumenti per hackerare il gioco Valorant, utility di automazione di Instagram e gestori di portafogli Bitcoin. A prima vista, tutti gli archivi sembrano legittimi. Particolarmente impressionante è il file README.MD ben progettato, una guida su come lavorare con il codice, con istruzioni dettagliate in più lingue. Oltre a ciò, gli autori degli attacchi hanno aggiunto numerosi tag ai loro archivi.

Gli autori degli attacchi hanno utilizzato l'intelligenza artificiale per scrivere istruzioni dettagliate in più lingue

Gli autori degli attacchi hanno utilizzato l’intelligenza artificiale per scrivere istruzioni dettagliate in più lingue

Un altro indicatore che rafforza l’apparente legittimità di questi archivi è l’elevato numero di commit. Gli archivi degli autori degli attacchi ne contengono tonnellate: decine di migliaia. Naturalmente, gli autori degli attacchi non aggiornavano manualmente ciascuno dei 200 archivi per preservarne l’autenticità, ma utilizzavano semplicemente file di marcatura temporale che si aggiornavano ogni pochi minuti. La combinazione di documentazione dettagliata e numerosi commit crea l’illusione che il codice sia autentico e sicuro da usare.

GitVenom: due anni di attività

La campagna è iniziata molto tempo fa: l’archivio falso più vecchio trovato ha circa due anni. Nel frattempo, GitVenom ha colpito sviluppatori in Russia, Brasile, Turchia e altri paesi. Gli autori degli attacchi utilizzavano un’ampia gamma di linguaggi di programmazione: il codice dannoso è stato trovato negli archivi Python, JavaScript, C, C# e C++.

Per quanto riguarda la funzionalità di questi progetti, le caratteristiche descritte nel file README non corrispondono nemmeno al codice effettivo: in realtà, il codice non fa nemmeno la metà di ciò che promette. Ma “grazie” a questo, le vittime finiscono per scaricare componenti dannosi, tra cui i seguenti:

  • Uno stealerjs che raccoglie nomi utente e password, dati di portafogli di criptovaluta e cronologia del browser, comprime i dati rubati in un archivio.7z e li invia agli autori degli attacchi tramite Telegram.
  • AsyncRAT: un trojan open source per l’amministrazione remota, che può anche funzionare come keylogger.
  • Quasar: una backdoor open source.
  • Un clipper che cerca negli appunti gli indirizzi dei portafogli di criptovaluta e li sostituisce con indirizzi controllati dall’autore dell’attacco. In particolare, a novembre 2024, il portafoglio hacker utilizzato in questo attacco ha ricevuto un deposito una tantum di circa 5 BTC (circa 377.000 euro statunitensi al momento dello studio).

Altre informazioni sui dettagli di questa campagna dannosa sono disponibili nella nostra ricerca completa pubblicata su SecureList.

Come proteggersi da contenuti dannosi su GitHub e GitLab

In breve, la miglior difesa è la vigilanza. Da oltre 100 milioni di sviluppatori utilizzano GitHub, ed è probabile che gli autori degli attacchi continueranno a diffondere codice dannoso tramite questa popolare piattaforma. L’unica domanda è come faranno: dieci anni fa nessuno avrebbe immaginato che gli autori degli attacchi sarebbero stati in grado di condurre campagne come GitVenom per così tanto tempo e con tanta tenacia. Pertanto, ogni sviluppatore dovrebbe mantenere la propria cybersecurity quando lavora con GitHub.

  • Analizza il codice prima di integrarlo in un progetto esistente.
  • Utilizza protezione dal malware sia su computer che su smartphone.
  • Controlla attentamente gli indicatori meno evidenti: gli account dei collaboratori, il numero di stelle (Mi piace) e la data di creazione del progetto. Se l’account è stato creato tre giorni fa, l’archivio due giorni fa e ha solo una stella, è molto probabile che il progetto sia falso e il codice dannoso.
  • Non scaricare file da link diretti a GitHub condivisi in chat, canali sospetti o su siti Web non verificati.
  • Se trovi un archivio sospetto, segnalalo a GitHub: questo potrebbe salvare i dispositivi di altri non protetti con una soluzione di sicurezza affidabile.
Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi