Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), Kaspersky’nin GitVenom adını verdiği yeni bir siber saldırı kampanyası kapsamında, oyuncuları ve kripto yatırımcılarını hedef alan çok aşamalı kötü amaçlı yazılımlar içeren yüzlerce açık kaynak deposu keşfetti. Virüs bulaşan projeler arasında Instagram hesaplarıyla etkileşime yönelik bir otomasyon aracı, Bitcoin cüzdanlarının uzaktan yönetilmesini sağlayan bir Telegram botu ve Valorant oyununu oynarken kullanılan bir crack aracı bulunuyor. Ancak iddia edilen tüm bu proje işlevleri sahteydi ve kampanyanın arkasındaki siber suçlular kişisel ve bankacılık verilerini çalmayı, panodan kripto cüzdan adreslerini ele geçirmeyi hedefliyordu. Kötü niyetli faaliyetlerin sonucu olarak siber suçlular 5 Bitcoin (soruşturma sırasındaki değeri yaklaşık 485 bin dolar) çalmayı başardılar. Kaspersky, virüslü depoların dünya çapında kullanıldığını ve en çok vakanın Brezilya, Türkiye ve Rusya’da görüldüğünü tespit etti.
Bu depolar, geliştiricilerin kodlarını yönetmelerine ve paylaşmalarına olanak tanıyan bir platform olan GitHub’da birkaç yıldır saklanıyordu. Saldırganlar, muhtemelen yapay zeka ile oluşturulmuş ilgi çekici proje açıklamaları kullanarak GitHub’daki depoların potansiyel hedeflere meşru görünmesini sağlamaya çalıştılar. Bu depolardaki kodlar çalıştırıldığında, kurbanın cihazına kötü amaçlı yazılım bulaşıyor ve saldırganlar tarafından uzaktan kontrol edilebiliyordu.
Projeler Python, JavaScript, C, C++ ve C# gibi birden fazla programlama dilinde yazılmış olsa da, virüslü projelerin içinde depolanan kötü amaçlı yüklerin amacı aynıydı: Saldırganların kontrolündeki GitHub deposundan diğer kötü amaçlı bileşenleri indirmek ve bunları çalıştırmak. Bu bileşenler arasında şifreleri, banka hesap bilgilerini, kayıtlı kimlik bilgilerini, kripto para cüzdanı verilerini ve tarama geçmişini toplayan, bunları bir .7z arşivine paketleyen ve Telegram aracılığıyla yükleyen bir hırsızlık aracı yer alıyor.
Hırsızlık yazılımının siber saldırganlara gönderdiği arşivin yapısı
İndirilen diğer zararlı bileşenler arasında, güvenli şifreli bir bağlantı aracılığıyla kurbanın bilgisayarını uzaktan izlemek ve kontrol etmek için kullanılabilen uzaktan yönetim araçları ve pano içeriğinde kripto para cüzdanı adreslerini arayan ve bunları saldırganın kontrol ettiği adreslerle değiştiren bir pano korsanı bulunuyor. Saldırgan tarafından kontrol edilen Bitcoin cüzdanı, Kasım 2024’te yaklaşık 5 BTC (araştırma sırasındaki değeri yaklaşık 485 bin dolar) tutarında bir meblağ aldı.
Kaspersky GReAT Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi: “GitHub gibi kod paylaşım platformları dünya çapında milyonlarca geliştirici tarafından kullanıldığından, tehdit aktörleri gelecekte de sahte yazılımları bir bulaşma tuzağı olarak kullanmaya devam edecekler. Bu nedenle, üçüncü taraf kodlarının işlenmesini çok dikkatli bir şekilde ele almak çok önemlidir. Bu tür bir kodu çalıştırmaya veya mevcut bir projeye entegre etmeye çalışmadan önce, hangi eylemlerin gerçekleştirildiğini iyice kontrol etmekte fayda var. Bu sayede sahte projeleri tespit etmek ve bunlara yerleştirilen kötü amaçlı kodların geliştirme ortamını tehlikeye atmak için kullanılmasını önlemek daha kolay olacaktır.”
