Siber güvenlik araştırmacıları, GitHub’da barındırılan açık kaynaklı projeler kisvesi altında oyuncuları ve kripto para yatırımcılarını hedefleyen devam eden bir kampanyaya dikkat çekiyor.
Yüzlerce depoya yayılan kampanya dublajlı Gitvenom Kaspersky tarafından.
Rus siber güvenlik satıcısı, “Enfekte olmuş projeler, Instagram hesaplarıyla etkileşim kurmak için bir otomasyon aracı, Bitcoin cüzdanlarının uzaktan yönetimini ve değerlik oyununu oynamasını sağlayan bir telgraf botu içeriyor.” Dedi.
“Tüm bu iddia edilen proje işlevselliği sahte idi ve kampanyanın arkasındaki siber suçlular kişisel ve bankacılık verilerini çaldı ve panodan kriptowallet adreslerini kaçırdı.”
Kötü niyetli aktivite, yazma nedeniyle yaklaşık 456.600 dolar değerinde 5 bitcoin hırsızlığını kolaylaştırdı. Kampanyanın bazı sahte projelerin yayınlandığı en az iki yıldır devam ettiğine inanılıyor. Enfeksiyon girişimlerinin çoğunluğu Rusya, Brezilya ve Türkiye’de kaydedildi.
Söz konusu projeler Python, JavaScript, C, C ++ ve C#dahil olmak üzere çeşitli programlama dillerinde yazılmıştır. Ancak kullanılan dilden bağımsız olarak, nihai hedef aynıdır: Saldırgan kontrollü bir GitHub deposundan ek bileşenleri almaktan ve bunları yürütmekten sorumlu olan gömülü kötü niyetli bir yük başlatın.
Bu modüller arasında, şifreleri, banka hesabı bilgilerini, kaydedilmiş kimlik bilgilerini, kripto para birimi cüzdan verilerini ve web tarama geçmişini toplayan bir Node.js Bilgi Stealer; Onları .7Z arşivine sıkıştırır ve telgraf aracılığıyla tehdit aktörlerine pespiltrat eder.
Bogus Github projeleri aracılığıyla da indirilen Asyncrat ve Quasar Rat gibi enfekte ana bilgisayarlara komuta etmek için kullanılabilecek uzaktan yönetim araçları ve dijital kıyafetleri tehdit aktörlerine yeniden yönlendirecek şekilde panoya kopyalanan cüzdanın yerine geçebilen bir Clipper kötü amaçlı yazılımdır.
Kaspersky araştırmacısı Georgy Kucherin, “GitHub gibi kod paylaşım platformları dünya çapında milyonlarca geliştirici tarafından kullanıldığından, tehdit aktörleri kesinlikle gelecekte bir enfeksiyon olarak sahte yazılımı kullanmaya devam edecekler.” Dedi.
“Bu nedenle, üçüncü taraf kodunun işlenmesini çok dikkatli bir şekilde ele almak çok önemlidir. Bu tür bir kodu çalıştırmaya veya mevcut bir projeye entegre etmeye çalışmadan önce, hangi eylemlerin gerçekleştirildiğini iyice kontrol etmek çok önemlidir.”
Geliştirme, Bitdefender’ın dolandırıcıların IEM Katowice 2025 ve PGL Cluj-Napoca 2025 gibi büyük e-spor turnuvalarından yararlandığını açıkladığı gibi geliyor.
“S1MPLE, Niko ve Donk gibi profesyonel oyuncuları taklit etmek için YouTube hesaplarını ele geçirerek, siber suçlular, hayranları çalınan buhar hesapları, kripto para birimi hırsızlığı ve değerli oyun içi eşyaların kaybına neden olan hileli CS2 cilt hediyelerine çekiyorlar.” söz konusu.
