Gli hacker stanno creando centinaia di progetti fasulli su GitHub con l’obiettivo di ingannare gli utenti e indurli a scaricare malware progettati per il furto di criptovalute e dati personali: a rivelarlo è la società di cybersecurity Kaspersky.

In un report del 24 febbraio, l’analista Georgy Kucherin di Kaspersky ha segnalato la campagna malware denominata "GitVenom", in cui i criminali informatici creano numerosi repository su GitHub contenenti codice dannoso.

Tra i progetti contraffatti figurano anche un bot Telegram per la gestione dei wallet di Bitcoin e uno strumento per automatizzare le interazioni con account Instagram. Per aumentare la credibilità dei repository, i criminali includono file di documentazione dettagliati e istruzioni ben strutturate, presumibilmente generate tramite intelligenza artificiale.

Inoltre, gli hacker hanno artificiosamente gonfiato il numero di commit per dare l’illusione di uno sviluppo attivo e costante. "A tal fine, hanno inserito un file di timestamp nei repository, aggiornandolo ogni pochi minuti. [...] I criminali hanno fatto di tutto per far apparire i repository legittimi ai potenziali bersagli," ha spiegato Kucherin.

Esempio di documentazione ben dettagliata per ciò che è in realtà soltanto un malware. Fonte: Kaspersky

I progetti non implementano realmente le funzionalità promesse nella documentazione: gran parte del codice si limita ad eseguire operazioni prive di significato. Kaspersky ha individuato diversi repository fraudolenti attivi da almeno due anni: ciò suggerisce che questo metodo d'infezione è altamente efficace, se è riuscito ad attirare vittime per un periodo così lungo.

Tutti i progetti "GitVenom" contengono payload malevoli in grado di installare software dannosi. Tra questi, un info-stealer capace di sottrarre le credenziali salvate, i dati dei crypto-wallet e la cronologia di navigazione, e inviare poi il tutto agli hacker tramite Telegram. Un altro di questi malware identifica se l'utente ha copiato l'indirizzo di un crypto-wallet e lo sostituisce segretamente con l'indirizzo di un altro wallet, controllato dall'hacker.

Kucherin ha confermato che almeno un utente è stato colpito da questi attacchi lo scorso novembre, quando un portafoglio in mano ai cybercriminali ha ricevuto 5 Bitcoin (BTC).

Il malware raccoglie informazioni come le credenziali salvate, i dati dei crypto-wallet e la cronologia di navigazione. Fonte: Kaspersky

La campagna GitVenom è stata osservata a livello globale, con una particolare concentrazione di attacchi in Russia, Brasile e Turchia. Secondo Kucherin, data l’ampia diffusione di piattaforme per la condivisione di codice open-source come GitHub, è probabile che i criminali informatici continueranno a sfruttarle per diffondere software malevolo.

Kucherin raccomanda di verificare attentamente il comportamento di qualsiasi codice di terze parti prima di scaricarlo.