GitVenom 活动：利用 GitHub 窃取加密货币

在当今世界，很难低估开源代码对软件开发的影响。多年来，全球社区已成功发布了大量项目，这些项目的代码均可免费访问，地球上的任何人都可以查看和改进。在互联网上发布的代码常常是软件开发人员的灵感来源——每当他们需要实现项目功能时，他们经常会检查所需的代码是否已经在线可用。这样，他们就避免了重新发明轮子，从而节省了宝贵的时间。

随着越来越多的开源项目被发布，国家资助的行为者和网络犯罪分子都开始使用免费代码作为诱饵来感染目标。当然，这种趋势没有放缓的迹象，目前针对 GitHub 用户的一项活跃活动（我们称之为 GitVenom）就是明证。

在 GitVenom 活动期间，其背后的威胁行为者在 GitHub 上创建了数百个存储库，其中包含带有恶意代码的虚假项目 - 例如，用于与 Instagram 帐户交互的自动化工具、允许管理比特币钱包的 Telegram 机器人以及视频游戏 Valorant 的黑客工具。

显然，在设计这些虚假项目时，行为者竭尽全力让存储库在潜在目标面前显得合法。例如，我们发现的恶意存储库包含精心设计的 README.md 文件，可能是使用 AI 工具生成的。我们观察到这些文件包含有关项目的信息，以及如何编译其代码的说明。

包含虚假项目描述的 README.md 页面片段

除此之外，攻击者还在他们的存储库中添加了多个标签，并人为地夸大了提交的次数。为此，他们在这些存储库中放置了一个时间戳文件，该文件每隔几分钟更新一次：

恶意存储库的示例结构

例如，攻击者通过在其中一个项目文件中插入一长行将恶意代码放入基于 Python 的项目中。此行由大约 2,000 个制表符组成，后跟以下代码，负责解密和执行 Python 脚本：

对于使用 JavaScript 编写的项目，攻击者在其中创建了一个恶意函数，该函数又从项目的主文件中调用。以下是此类函数的示例：

放置在基于 JavaScript 的项目中恶意函数的示例。它从 Base64 解码脚本并执行它。

对于包含 C、C++ 和 C# 代码的存储库，攻击者决定在 Visual Studio 项目文件中隐藏恶意批处理脚本，并将其配置为在项目构建时执行：

恶意 Visual Studio 项目文件的代码片段。它包含一个 PreBuildEvent 属性，该属性指示有效负载在项目构建时执行。

虽然使用不同的编程语言编写，但存储在虚假项目中的恶意有效载荷具有相同的目标 - 从攻击者控制的 GitHub 存储库（研究时的 URL：hxxps://github[.]com/Dipo17/battle）下载更多恶意组件并执行它们。这些组件如下：

• Node.js 窃取程序，收集已保存的凭据、加密货币钱包数据和浏览历史记录等信息，将其打包成 .7z 存档并通过 Telegram 将其上传给攻击者。

窃取者发送给攻击者的档案结构

• 开源 AsyncRAT 植入程序（C2 服务器地址：138.68.81[.]155）；

• 开源 Quasar 后门（C2 服务器地址：同上）

• 剪贴板劫持程序，在剪贴板内容中搜索加密货币钱包地址，并将其替换为攻击者控制的地址。值得注意的是，攻击者控制的比特币钱包（ID：bc1qtxlz2m6r[...]yspzt）在 2024 年 11 月收到了约 5 BTC（研究时约为 485,000 美元）的一笔款项。

在调查与 GitVenom 活动相关的恶意存储库时，我们发现了两年前发布的几个虚假项目。考虑到攻击者多年来一直使用这些项目引诱受害者，感染媒介可能非常有效。事实上，根据我们的遥测，与 GitVenom 相关的感染尝试已在世界各地观察到，其中最多的是在俄罗斯、巴西和土耳其。我们预计这些尝试将在未来继续，可能在 TTP 上进行细微更改。

由于全球数百万开发人员都在使用 GitHub 等代码共享平台，威胁行为者肯定会继续使用假软件作为感染诱饵。因此，非常谨慎地处理第三方代码至关重要。在尝试运行此类代码或将其集成到现有项目中之前，彻底检查其执行的操作至关重要。这样，就可以很容易地发现假项目，并防止其中放置的恶意代码被用来破坏开发环境。