روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ می‌توانید جهانی را تصور کنید که در آن، هر بار که خواستید جایی بروید مجبور شوید از صفر تا صد ساخت دوچرخه را خودتان انجام دهید؟ ما هم نمی‌توانیم! چرا بخواهیم چیزی را صفر تا صد درست کنیم وقتی آن چیز از قبل وجود دارد و عالی و بی‌نقص کار می‌کند؟ همین منطق برای برنامه‌نویسی هم صدق می‌کند: توسعه‌دهندگان هر روز با کارهای روتین مواجه هستند و به جای درست کردن دوچرخه از اول، فقط دوچرخه حاضر و آماده‌ی از قبل درست‌شده را برمی‌دارند. منظورمان همان کدی است که در مخازن منبع‌باز گیت‌هاب وجود دارد. این راه‌حل برای همه موجود است از جمله مجرمان سایبری که از بهترین کدهای رایگان منبع باز به عنوان دامی برای حمله استفاده می‌کنند. متخصین ما کمپین مخرب فعالی را به نام GitVenom درست کردند که به کاربران گیت‌هاب حمله می‌کند.

GitVenom چیست؟

GitVenom نام کمپین مخربی است که در آن، عاملین ناشناس بیش از 200 مخزن حاوی پروژه‌های فیک را با کد مخرب ساختند: بات‌های تلگرامی، ابزارهایی برای هکِ گیم Valorant، ابزارهای اتوماسیون اینستاگران و منیجرهای کیف‌پول بیت‌کوین. در نگاه اول، همه مخازن قانونی به نظر می‌رسند. خصوصاً فایل خوش‌ساخت README.MD که راهنمایی است برای نحوه‌ی کار با این کد (با دستورالعمل‌های پرجزئیات به چندین زبان). افزون بر این، مهاجمین به مخازن خود چندین تگ را هم اضافه کردند. شاخص دیگر که مشروعیت ظاهری این مخازن را تقویت می‌کند، تعداد زیاد تعهدات است. مخازن مهاجمان دارای تعداد زیادی از آنها هستند - ده ها هزار. البته مهاجمان به صورت دستی هر یک از 200 مخزن را برای حفظ اصالت به روز نمی کردند، بلکه فقط از فایل های مهر زمانی استفاده می کردند که هر چند دقیقه یکبار به روز می شدند. ترکیبی از اسناد دقیق و تعهدات متعدد این توهم را ایجاد می کند که کد واقعی و ایمن برای استفاده است.

GitVenom: دو سال فعالیت

این کمپین خیلی وقت پیش شروع شد: قدیمی‌ترین مخزن فیکی که پیدا کردیم برای دو سال پیش است. GitVenom بر توسعه‌دهندگان در روسیه، برزیل، ترکیه و سایر کشورها تأثیر گذاشته است. مهاجمین طیف گسترده‌ای از زبان‌های برنامه‌نویسی را پوشش می‌دادند: کدهای مخرب در مخازن پایتون، جاوا اسکریپت، C، C# و C++ یافت شد.

با توجه به عملکرد این پروژه‌ها، ویژگی‌های مشروح در فایل README حتی با کد واقعی مطابقت نداشتند - در واقع، کد نیمی از آنچه را که ادعا می‌کند انجام نمی‌دهد. اما "به لطف" آن، قربانیان در نهایت اجزای مخرب را دانلود می کنند. این موارد عبارتند از:

•         Node.js :یک سارق که نام‌های کاربری و رمز عبور، داده‌های کیف پول رمزنگاری و تاریخچه مرورگر را جمع‌آوری ، داده‌های دزدیده شده را در یک آرشیو .7z بسته‌بندی و از طریق تلگرام برای مهاجمان ارسال می‌کند.
•         AsyncRAT :  یک تروجان مدیریت از راه دور منبع باز، که می تواند به عنوان یک کی لاگر نیز عمل کند.
•         Quasar :  بک‌در منبع باز.

کلیپری که در کلیپ‌بورد آدرس‌های کیف پول کریپتو را جستجو و آدرس‌های کنترل‌شده توسط مهاجم را جایگزین آن‌ها می‌کند. قابل ذکر است، در نوامبر 2024، کیف پول هکری مورد استفاده در این حمله یک سپرده یکباره (حدود 5 BTC تقریباً 485000 دلار آمریکا در زمان مطالعه) دریافت کرد.

در تحقیقات کامل ما که در SecureList منتشر شده است، می توانید اطلاعات بیشتری در مورد جزئیات این کمپین مخرب بخوانید.

راهکارهای امنیتی

بطور خلاصه، بهترین دفاع، هشیاری است. از آنجایی که بیش از 10 میلیون توسعه‌دهنده از گیت‌هات استفاده می‌کنند، مهاجمین احتمالاً توزیع کدهای مخرب را از طریق این پلت‌فرم محبوب ادامه خواهند داد. تنها سوال نحوه انجام آن است. ده سال پیش کسی تصور نمی‌کرد مهاجمین بتوانند کمپین‌های چون GitVenom را با این میزان پایداری راه بیاندازند. از این رو، هر توسعه‌دهنده‌ای باید بهداشت امنیت سایبری خود را موقع کار با GitHub رعایت کند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.