Kaspersky phát hiện có ít nhất một nạn nhân mất 5 Bitcoin, trị giá khoảng 442.000 đô la, vào một dự án giả mạo chứa phần mềm độc hại vào tháng 11.
by Money Magnet - Feb 26, 2025
Công ty an ninh mạng Kaspersky cho biết tin tặc đang tạo ra hàng trăm dự án GitHub giả mạo nhằm lừa người dùng tải xuống phần mềm độc hại đánh cắp thông tin đăng nhập và tiền điện tử.
Nhà phân tích Georgy Kucherin của Kaspersky cho biết trong báo cáo ngày 24 tháng 2 rằng chiến dịch phần mềm độc hại mà công ty gọi là “GitVenom” đã chứng kiến tin tặc tạo ra hàng trăm kho lưu trữ trên GitHub để lưu trữ các dự án giả mạo có chứa trojan truy cập từ xa (RAT), phần mềm đánh cắp thông tin và phần mềm chiếm quyền điều khiển clipboard.
Một số dự án giả mạo bao gồm bot Telegram quản lý ví Bitcoin và công cụ tự động hóa tương tác tài khoản Instagram.
Kucherin cho biết thêm rằng những kẻ tạo ra phần mềm độc hại đã "nỗ lực hết sức" để khiến các dự án có vẻ hợp pháp bằng cách đưa vào các tệp thông tin và hướng dẫn được "thiết kế tốt" "có thể được tạo ra bằng các công cụ AI".
Những kẻ đứng sau các dự án độc hại này cũng đã tăng số lượng "cam kết" hoặc thay đổi đối với dự án một cách giả tạo, đồng thời thêm nhiều tham chiếu đến các thay đổi cụ thể để tạo ra vẻ ngoài rằng dự án đang được cải thiện tích cực.
“Để làm được điều đó, họ đã đặt một tệp dấu thời gian vào các kho lưu trữ này và tệp này được cập nhật sau mỗi vài phút.”
Kucherin cho biết trong báo cáo: “Rõ ràng, khi thiết kế những dự án giả mạo này, những kẻ chủ mưu đã nỗ lực hết sức để khiến các kho lưu trữ có vẻ hợp pháp đối với các mục tiêu tiềm năng”.
Các dự án không triển khai các tính năng được thảo luận trong các tệp hướng dẫn và giải thích, trong khi Kaspersky phát hiện ra rằng chúng chủ yếu "thực hiện các hành động vô nghĩa".
Trong quá trình điều tra, Kaspersky đã phát hiện ra một số dự án giả mạo có từ ít nhất hai năm trước và suy đoán rằng "phương thức lây nhiễm này có thể khá hiệu quả" vì tin tặc đã dụ dỗ nạn nhân trong một thời gian khá dài.
Bất kể dự án giả mạo này có hình thức như thế nào, Kucherin cho biết tất cả chúng đều có "phần mềm độc hại" tải xuống các thành phần như trình đánh cắp thông tin, lấy thông tin đăng nhập đã lưu, dữ liệu ví tiền điện tử và lịch sử duyệt web rồi tải lên cho tin tặc thông qua Telegram.
Một thành phần độc hại khác sử dụng trình chiếm đoạt clipboard để tìm kiếm địa chỉ ví tiền điện tử và thay thế chúng bằng địa chỉ do kẻ tấn công kiểm soát.
Kucherin cho biết những ứng dụng độc hại này đã lừa được ít nhất một người dùng vào tháng 11 khi một ví do tin tặc kiểm soát nhận được 5 Bitcoin, hiện có giá trị khoảng 442.000 đô la.
Kucherin cho biết vì các nền tảng chia sẻ mã như GitHub được hàng triệu nhà phát triển trên toàn thế giới sử dụng nên kẻ tấn công sẽ tiếp tục sử dụng phần mềm giả mạo làm mồi nhử lây nhiễm.
Ông khuyên rằng điều cần thiết là phải kiểm tra xem mã của bên thứ ba thực hiện hành động gì trước khi tải xuống.
Kucherin cho biết thêm công ty dự kiến những kẻ tấn công sẽ tiếp tục công bố các dự án độc hại, nhưng "có thể có những thay đổi nhỏ" về chiến thuật, kỹ thuật và quy trình.