Una recente indagine della società di cybersecurity Kaspersky ha rivelato una massiccia campagna di diffusione malware su GitHub, denominata “GitVenom“. Secondo il ricercatore Georgy Kucherin, gli hacker hanno creato centinaia di repository fasulli per ingannare gli utenti e indurli a scaricare software malevolo in grado di rubare credenziali e criptovalute.
Un’operazione ben orchestrata
I cybercriminali dietro GitVenom hanno pubblicato progetti fittizi che apparentemente offrivano strumenti utili, come bot Telegram per la gestione di portafogli Bitcoin o software per automatizzare le interazioni su Instagram. Tuttavia, invece di fornire le funzionalità promesse, questi repository contenevano trojan di accesso remoto (RAT), malware per il furto di informazioni e hijacker di clipboard.
Per aumentare la credibilità dei loro progetti, gli hacker hanno inserito documentazione dettagliata e ben realizzata, probabilmente generata tramite strumenti di intelligenza artificiale. Inoltre, hanno simulato attività di sviluppo attivo gonfiando artificialmente il numero di “commit” (modifiche al codice) e aggiornando continuamente file con timestamp per dare l’impressione di un progetto in costante evoluzione.
Metodi di attacco e danni causati
L’obiettivo principale di questi malware è sottrarre informazioni sensibili dagli utenti infetti. I file dannosi scaricano componenti che raccolgono credenziali salvate, dati di portafogli di criptovalute e cronologia di navigazione, inviandoli ai criminali tramite Telegram. Un’altra minaccia è rappresentata dagli hijacker di clipboard, che intercettano gli indirizzi di portafogli crypto copiati dagli utenti e li sostituiscono con quelli degli hacker.
Questa strategia ha già colpito almeno una vittima documentata: a novembre, un hacker ha ricevuto 5 Bitcoin (circa 442.000 dollari al valore attuale) da un ignaro utente che aveva installato uno di questi software dannosi.
Diffusione globale e misure preventive
La campagna GitVenom è stata osservata a livello globale, con un’attenzione particolare verso utenti in Russia, Brasile e Turchia. Gli esperti di Kaspersky avvertono che piattaforme di condivisione di codice come GitHub, utilizzate da milioni di sviluppatori, continueranno a essere un bersaglio privilegiato per attacchi di questo tipo.
Per proteggersi da questi rischi, è fondamentale:
- Verificare attentamente la fonte di qualsiasi codice prima di scaricarlo ed eseguirlo.
- Controllare le attività degli sviluppatori e la credibilità dei repository.
- Utilizzare software di sicurezza aggiornati per rilevare eventuali minacce.
Gli esperti prevedono che gli hacker continueranno a pubblicare progetti malevoli su GitHub, forse con variazioni nelle loro tecniche, per eludere i controlli di sicurezza. Essere vigili e adottare misure di sicurezza appropriate resta l’unica difesa efficace contro minacce sempre più sofisticate nel mondo della cybersecurity.
