एक ट्रेंडी एप्लिकेशन या पैच मौजूदा बग बनाने के लिए आप जिस GitHub कोड का उपयोग करते हैं, उसका उपयोग केवल आपके बिटकॉइन (BTC) या अन्य क्रिप्टो होल्डिंग्स को चुराने के लिए किया जा सकता है, एक Kaspersky रिपोर्ट के अनुसार।

GitHub सभी प्रकार के डेवलपर्स के बीच लोकप्रिय उपकरण है, लेकिन क्रिप्टो-केंद्रित परियोजनाओं के बीच और भी अधिक, जहां एक साधारण अनुप्रयोग राजस्व में लाखों डॉलर उत्पन्न कर सकता है।

रिपोर्ट में एक “गिटवेनोम” अभियान के उपयोगकर्ताओं को चेतावनी दी गई है जो कम से कम दो वर्षों के लिए सक्रिय है, लेकिन लगातार वृद्धि पर है, जिसमें लोकप्रिय कोड रिपॉजिटरी प्लेटफॉर्म पर नकली परियोजनाओं में दुर्भावनापूर्ण कोड रोपण शामिल है।

यह हमला प्रतीत होता है कि वैध GitHub परियोजनाओं के साथ शुरू होता है – जैसे कि बिटकॉइन वॉलेट या कंप्यूटर गेम के लिए उपकरणों के प्रबंधन के लिए टेलीग्राम बॉट बनाना।

प्रत्येक एक पॉलिश रीडमे फ़ाइल के साथ आता है, जो अक्सर एआई-जनित, ट्रस्ट बनाने के लिए आता है। लेकिन कोड ही एक ट्रोजन घोड़ा है: पायथन-आधारित परियोजनाओं के लिए, हमलावर 2,000 टैब के विचित्र स्ट्रिंग के बाद नापाक स्क्रिप्ट छिपाते हैं, जो एक दुर्भावनापूर्ण पेलोड को डिक्रिप्ट और निष्पादित करता है।

जावास्क्रिप्ट के लिए, एक दुष्ट फ़ंक्शन मुख्य फ़ाइल में एम्बेडेड है, लॉन्च हमले को ट्रिगर करता है। एक बार सक्रिय होने के बाद, मैलवेयर एक अलग हैकर-नियंत्रित GitHub रिपॉजिटरी से अतिरिक्त उपकरण खींचता है।

(एक टैब कोड का आयोजन करता है, जिससे यह लाइनों को संरेखित करके पठनीय बनाता है। पेलोड एक प्रोग्राम का मुख्य हिस्सा है जो मैलवेयर के मामले में वास्तविक कार्य – या नुकसान करता है।)

एक बार जब सिस्टम संक्रमित हो जाता है, तो विभिन्न अन्य कार्यक्रम शोषण को निष्पादित करने के लिए किक करते हैं। एक Node.js स्टीलर ने पासवर्ड, क्रिप्टो वॉलेट विवरण और ब्राउज़िंग इतिहास की कटाई की, फिर बंडल और उन्हें टेलीग्राम के माध्यम से भेजता है। रिमोट एक्सेस ट्रोजन जैसे कि Asyncrat और Quasar ने पीड़ित के डिवाइस को संभाला, कीस्ट्रोक्स को लॉग किया और स्क्रीनशॉट को कैप्चर किया।

एक “क्लिपर” भी हैकर्स के अपने साथ बटुए पते की नकल की, फंड को रीडायरेक्ट करते हुए। इस तरह के एक बटुए ने 5 बीटीसी – उस समय $ 485,000 की कीमत – अकेले नवंबर में।

कम से कम दो वर्षों के लिए सक्रिय, गिटवेनोम ने रूस, ब्राजील और तुर्की में उपयोगकर्ताओं को सबसे कठिन मारा है, हालांकि इसकी पहुंच वैश्विक है, प्रति कैस्परस्की।

हमलावर सक्रिय विकास की नकल करके और एंटीवायरस सॉफ़्टवेयर से बचने के लिए उनकी कोडिंग रणनीति को अलग करके इसे चुपके से रखते हैं।

उपयोगकर्ता अपनी रक्षा कैसे कर सकते हैं? इसे चलाने से पहले किसी भी कोड की जांच करके, परियोजना की प्रामाणिकता को सत्यापित करना, और अत्यधिक पॉलिश किए गए रीडम्स या असंगत प्रतिबद्ध इतिहास के बारे में संदिग्ध होना।

क्योंकि शोधकर्ताओं को उम्मीद नहीं है कि ये हमले जल्द ही बंद हो जाएंगे: “हम उम्मीद करते हैं कि भविष्य में इन प्रयासों को जारी रखने के लिए, संभवतः टीटीपी में छोटे बदलावों के साथ,” कास्परस्की ने अपनी पोस्ट में निष्कर्ष निकाला।