Il Global Research & Analysis Team (GReAT) di Kaspersky ha individuato una nuova e sofisticata minaccia informatica, denominata GitVenom, che ha preso di mira gamer e investitori in criptovalute. Questo malware si è diffuso attraverso centinaia di repository open source su GitHub, veicolando codice malevolo camuffato da strumenti utili per la gestione di account social, trading e gaming. I cybercriminali responsabili della campagna hanno sottratto dati personali, credenziali bancarie e 5 Bitcoin, pari a 485.000 dollari al momento dell’indagine, con attacchi registrati principalmente in Brasile, Turchia e Russia.
Un malware camuffato da strumenti legittimi
GitVenom si è diffuso attraverso repository GitHub che sembravano contenere strumenti di automazione e utility popolari. Tra i file infetti individuati, Kaspersky ha rilevato un software per la gestione automatizzata di account Instagram, un bot Telegram per il controllo remoto di wallet Bitcoin e un crack tool per il videogioco Valorant. Una volta scaricati ed eseguiti, questi strumenti non funzionavano come promesso, ma attivavano un malware multistadio che sottraeva dati sensibili e prendeva il controllo del dispositivo infetto. Gli hacker hanno adottato un approccio sofisticato per rendere i repository credibili, creando descrizioni dettagliate e realistiche, probabilmente generate tramite intelligenza artificiale, per ingannare gli utenti e far sembrare legittimi i progetti malevoli.
Un attacco strutturato per massimizzare il furto di dati
GitVenom sfrutta diversi linguaggi di programmazione, tra cui Python, JavaScript, C, C++ e C#, per distribuire i payload dannosi. Dopo l’installazione, il malware scarica componenti aggiuntivi da un repository GitHub controllato dagli aggressori, attivando strumenti di furto dati e controllo remoto. Uno dei principali moduli malevoli è uno stealer, progettato per raccogliere password, credenziali bancarie, dati di accesso a portafogli di criptovalute e cronologia di navigazione. Tutte queste informazioni vengono compresse in un file .7z e inviate ai criminali tramite Telegram, garantendo una trasmissione discreta e anonima.
Oltre allo stealer, Kaspersky ha individuato un clipboard hijacker, un modulo che monitora il contenuto degli appunti alla ricerca di indirizzi di wallet Bitcoin, sostituendoli automaticamente con quelli appartenenti ai criminali. In questo modo, quando una vittima copia e incolla un indirizzo per effettuare una transazione, il denaro finisce direttamente nei conti degli hacker. Il wallet Bitcoin controllato dagli aggressori ha ricevuto circa 5 BTC nel novembre 2024, evidenziando l’efficacia dell’attacco. Tra gli strumenti impiegati figura anche un tool di gestione remota, che consente ai cybercriminali di monitorare e controllare i computer infetti attraverso connessioni crittografate, assicurando un accesso persistente e invisibile ai sistemi compromessi.
L’importanza di un approccio sicuro nella gestione del codice open source
L’uso di repository GitHub per diffondere malware rappresenta una tendenza crescente, con gli hacker che sfruttano la fiducia degli sviluppatori nelle piattaforme open source. Secondo Georgy Kucherin, Security Researcher di Kaspersky GReAT, è essenziale adottare un approccio prudente nella gestione del codice di terze parti. Prima di eseguire o integrare un nuovo software, gli sviluppatori dovrebbero analizzare attentamente le operazioni eseguite, evitando di eseguire codice senza una verifica approfondita. “Le piattaforme come GitHub vengono utilizzate da milioni di sviluppatori in tutto il mondo e gli aggressori continueranno a sfruttare software falsi per attirare gli utenti. È fondamentale controllare con attenzione i progetti open source prima di utilizzarli, evitando che codice malevolo possa compromettere l’ambiente di sviluppo e mettere a rischio dati sensibili”, ha dichiarato Kucherin.
GitHub e le minacce emergenti nel panorama della cybersecurity
L’attacco GitVenom evidenzia una delle vulnerabilità più critiche nell’uso di repository pubblici. La crescente affidabilità verso strumenti condivisi su GitHub ha reso questa piattaforma un bersaglio ideale per campagne malevole mirate. Gli hacker riescono a nascondere codice dannoso tra righe di codice apparentemente innocue, sfruttando la curiosità e la fretta degli utenti. Per proteggersi da attacchi simili, gli esperti consigliano di evitare di eseguire software sconosciuti, controllare la reputazione degli sviluppatori su GitHub, esaminare il codice sorgente prima dell’installazione e utilizzare soluzioni di cybersecurity avanzate per individuare minacce nascoste.
Aiutaci a crescere: lasciaci un like :)