ประเด็นสำคัญ:
- “ Gitvenom” ใช้ประโยชน์จากที่เก็บ GitHub ปลอมที่ฝังอยู่กับมัลแวร์เพื่อกำหนดเป้าหมายผู้ใช้ cryptocurrency
- ผู้โจมตีไซเบอร์ใช้ประโยชน์จากกลยุทธ์การหลอกลวงที่ขับเคลื่อนด้วย AI เพื่อหลอกผู้ใช้ให้ดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งปลอมตัวเป็นโครงการโอเพ่นซอร์สที่ถูกกฎหมาย
- การบรรเทาภัยคุกคามที่เกิดขึ้นใหม่เหล่านี้จำเป็นต้องมีการทบทวนรหัสอย่างละเอียดและการพัฒนาที่ปลอดภัย
การพัฒนาซอฟต์แวร์โอเพนซอร์ซ-รากฐานของนวัตกรรมและการทำงานร่วมกัน-อยู่ภายใต้การล้อมมากขึ้นเรื่อย ๆ จากผลงานของ Clemens Lutz และเพื่อนร่วมงานของ Kaspersky Gitvenom เป็นแคมเปญที่มีความซับซ้อนสูงซึ่งใช้ประโยชน์จากความไว้วางใจโดยธรรมชาติในแพลตฟอร์มฟรีเพื่อแจกจ่ายมัลแวร์และผู้ใช้ที่ประนีประนอม เนื่องจากการล่มสลายของความหายนะของการโจมตีที่ซับซ้อนนี้แสดงให้เห็นว่ามันเป็นสิ่งสำคัญมากขึ้นที่สมาชิกของประชาชนมีวิธีการที่คมชัดและเชิงรุกในการรักษาความปลอดภัยออนไลน์ ความรุนแรงของภัยคุกคามเหล่านี้เห็นได้ชัดในกรณีของนักพัฒนาที่สูญเสีย 5 bitcoin (มีมูลค่าประมาณ $ 442,000 ในเวลา) ในการโจมตีครั้งเดียว
การเลียนแบบศิลปิน: การวิเคราะห์วิธีการของ Gitvenom
Kaspersky ได้ทำการวิเคราะห์เชิงลึกของแคมเปญ Gitvenom นำโดยนักวิเคราะห์ Georgy Kucherin แฮ็กเกอร์ใช้ประโยชน์จากคุณสมบัติ 'สำรวจ' ของ GitHub เพื่อเพิ่มการมองเห็นโครงการปลอมซึ่งมีรหัสที่เป็นอันตรายที่ออกแบบมาเพื่อติดเชื้อระบบของผู้ใช้ สิ่งเหล่านี้ไม่ได้เป็นเพียงความพยายามสมัครเล่น: ผู้โจมตีแสดงความเข้าใจที่ชัดเจนเกี่ยวกับระบบนิเวศโอเพนซอร์สและใช้เทคนิคที่ซับซ้อนมากขึ้นเพื่อหลอกเป้าหมายของพวกเขา
GitHub Malware Alert
ทีมวิจัยและวิเคราะห์ระดับโลกของเรา (ยอดเยี่ยม) เปิด Gitvenom ซึ่งเป็นหลายขั้นตอนลอบ #Malware แคมเปญใช้ประโยชน์จากรหัสโอเพ่นซอร์ส ที่เก็บที่ติดเชื้อเป้าหมาย #gamers และ #crypto นักลงทุน, กระเป๋าจี้กระเป๋าเดินทางและการดูด $ 485,000 ใน #bitboin–
รับ… pic.twitter.com/yhzjbshcbv
– Kaspersky (@Kaspersky) 26 กุมภาพันธ์ 2568
บ่อยครั้งที่โครงการที่สร้างขึ้นเหล่านี้ดูเป็นประโยชน์และน่าสนใจตอบสนองความต้องการและความสนใจของนักพัฒนาทั่วไป:
- Bitcoin Wallet Management Telegram Bots: บอทที่ฉ้อโกงเหล่านี้ใช้ประโยชน์จากความนิยมของระบบอัตโนมัติการซื้อขาย crypto ซึ่งมีแนวโน้มความสะดวกสบายในขณะที่ส่งมัลแวร์ พวกเขาเสนอการจัดการกระเป๋าเงินที่ไร้รอยต่อ แต่ส่งมอบน้ำหนักบรรทุกที่น่ารังเกียจ
- เครื่องมืออัตโนมัติ Instagram: วางตลาดกับคนรักและนักการตลาดโซเชียลมีเดียพวกเขาบรรจุคุณสมบัติระบบอัตโนมัติที่น่าตื่นเต้นด้วยการติดเชื้อระบบที่ซ่อนอยู่
- เครื่องมือแฮ็คเกม: นักเล่นเกมล่อลวงเหล่านี้ที่มีสัญญาว่าจะเพิ่มประสิทธิภาพของพวกเขาในชื่อยอดนิยมเช่น Valorant แต่ติดตั้งสปายแวร์แทน
ลักษณะที่กำหนดของแคมเปญ Gitvenom คือความพยายามที่ลงทุนในการทำให้โครงการเหล่านี้ดูเป็นของแท้ ผู้โจมตีใช้ประโยชน์จากปัญญาประดิษฐ์ (AI) เพื่อสร้างเอกสารที่ครอบคลุมและเป็นมืออาชีพ ไฟล์ readMe ที่สร้างขึ้น AI เหล่านี้ให้คำแนะนำและคำอธิบายหลายภาษาเพิ่มแผ่นไม้อัดของความถูกต้องตามกฎหมายให้กับเครื่องมือที่ชั่วร้ายเป็นอย่างอื่น เทคนิคขั้นสูงที่ใช้โดยผู้โจมตี Gitvenom ทำให้มันยากขึ้นสำหรับนักพัฒนาที่มีประสบการณ์เพื่อแยกแยะระหว่างโครงการที่ถูกกฎหมายและการฉ้อโกง
ตัวอย่างของไฟล์คำสั่ง 'ออกแบบมาอย่างดี' ตามที่อ้างถึงโดย Kaspersky
ดังที่ Kucherin ชี้ให้เห็นอย่างน่าเชื่อถือการเขียนอยู่บนกำแพง-ผู้สร้างแคมเปญที่กระทำผิดได้“ ไปอย่างยาวนานเพื่อให้ที่เก็บข้อมูลนั้นถูกต้องตามกฎหมายไปยังเป้าหมายที่อาจเกิดขึ้น” การออกกำลังกายในการรู้จักจิตวิทยามนุษย์และการสร้างความไว้วางใจ
ภายใต้ภาพลวงตาของตัวเอง: การผูกสองครั้งของอัตราเงินเฟ้อประดิษฐ์ของกิจกรรม
นอกเหนือจากเอกสารที่สร้างขึ้นจาก AI แล้วผู้โจมตี Gitvenom ยังใช้กลยุทธ์การยักย้ายถ่ายเทอื่น ๆ อีกมากมายเพื่อเสริมกำลังด้านหน้าของความถูกต้องตามกฎหมาย กลยุทธ์ที่สำคัญคือการพองตัวของ“ การกระทำ” ที่เพิ่มขึ้นอย่างต่อเนื่อง – บันทึกการเปลี่ยนแปลงรหัสที่เกิดขึ้นกับโครงการ – เพื่อสร้างความรู้สึกผิด ๆ ของกิจกรรม ผู้โจมตีรักษากระแสคงที่ของการกระทำที่ดูเหมือนจะทำงานกับโครงการโดยการสัมผัสไฟล์การประทับเวลาอย่างต่อเนื่องกับวันที่ปัจจุบันทำให้ดูเหมือนว่าโครงการยังคงได้รับการดูแลและพัฒนาอย่างแข็งขัน
การจัดการบันทึกกิจกรรมเป็นส่วนสำคัญของความสำเร็จของ Gitvenom เนื่องจากใช้ประโยชน์จากความเชื่อที่ว่าโครงการที่ได้รับการดูแลอย่างแข็งขันนั้นปลอดภัยกว่า แต่กิจกรรมที่ส่งเสียงดังนี้กลับกลายเป็นว่าไม่มีอะไรนอกจากมีควันที่มีจุดประสงค์ที่เป็นอันตรายอยู่ข้างหลังเพราะมันไม่ใช่โปรแกรมที่สมบูรณ์
คลังแสงที่เป็นอันตราย: ทำความเข้าใจกับภัยคุกคามที่ซ่อนอยู่ภายใน
โครงการ Gitvenom ที่เกิดขึ้นจริงมีการทำให้เข้าใจผิดด้านหน้าซึ่งนำไปสู่มัลแวร์หลายประเภทที่สามารถช่วยประนีประนอมระบบหรือขโมยสินทรัพย์ที่มีค่าจากผู้ใช้ น้ำหนักบรรทุกเหล่านี้มักจะมีส่วนผสมของ:
- ข้อมูล stealers: โปรแกรมที่เป็นอันตรายที่มีจุดมุ่งหมายเพื่อดึงข้อมูลที่ละเอียดอ่อนจากระบบที่ถูกบุกรุกรวมถึงชื่อผู้ใช้รหัสผ่านกระเป๋าเงินดิจิตอลกระเป๋าเงินประวัติการเรียกดูและข้อมูลส่วนบุคคลใด ๆ ไฟล์ที่ถูกขโมยจะถูกบีบอัดและส่งไปยังผู้โจมตีผ่านช่องทางการสื่อสารที่เข้ารหัสเช่นโทรเลข
- คลิปบอร์ดจี้: แอพพลิเคชั่นส่อเสียดเหล่านี้ดูคลิปบอร์ดระบบสำหรับที่อยู่กระเป๋าเงินดิจิตอล เมื่อเหยื่อคัดลอกที่อยู่กระเป๋าเงิน (เพื่อทำธุรกรรม) จี้คลิปบอร์ดจะแทนที่อย่างเงียบ ๆ ด้วยที่อยู่ไปยังกระเป๋าเงินของผู้โจมตี
- โทรจันการเข้าถึงระยะไกล (หนู): หนูให้การควบคุมระบบเต็มรูปแบบโดยอนุญาตให้พวกเขาตรวจสอบกิจกรรมของผู้ใช้จับภาพหน้าจอบันทึกการกดแป้นบันทึกการดำเนินการคำสั่งและควบคุมอุปกรณ์ของคุณทั้งหมด การเข้าถึง“ สูง” ดังกล่าวช่วยให้ผู้โจมตีสามารถ exfiltrate ข้อมูลที่ละเอียดอ่อนวางมัลแวร์เพิ่มเติมหรือใช้ระบบที่ติดเชื้อเป็นส่วนหนึ่งของบอตเน็ต
ด้วยการดำเนินการตามขั้นตอนเชิงรุกดังกล่าวนักพัฒนาสามารถลดความเสี่ยงของการได้รับผลกระทบจากแคมเปญ Gitvenom และภัยคุกคามไซเบอร์อื่น ๆ ที่คล้ายคลึงกัน
ข่าวเพิ่มเติม: Bybit ทนทุกข์ทรมานจำนวนมาก 1.4 พันล้านดอลลาร์: สิ่งที่คุณต้องรู้
Gitvenom: ภัยคุกคามระดับโลกแพร่กระจายไปทั่วภูมิศาสตร์
การวิจัยของ Kaspersky ได้ระบุพื้นที่เฉพาะของโลกที่ประสบกับความชุกของภัยคุกคามที่สูงขึ้นแม้ว่าแคมเปญ Gitvenom จะได้เห็นในหลายภูมิภาคทั่วโลก มีรายงานการติดเชื้อ Gitvenom ในภูมิภาคเช่นรัสเซียบราซิลและตุรกีซึ่งบ่งบอกถึงความชุกที่สูงขึ้นในพื้นที่เหล่านี้ ผลกระทบทางการเมืองของ Gitvenom ได้รับความสนใจจากสื่อ จำกัด แต่อย่างมีนัยสำคัญโดยเฉพาะอย่างยิ่งในภูมิภาคที่มีการพัฒนาโอเพนซอร์สอย่างกว้างขวาง
ด้านมืดของ GitHub-ดาบสองด้านของการพัฒนาซอฟต์แวร์
ทำหน้าที่เป็นสภาพแวดล้อมการพัฒนาซอฟต์แวร์การทำงานร่วมกันที่ใหญ่ที่สุด GitHub ได้กลายเป็นเครื่องมือที่ขาดไม่ได้สำหรับนักพัฒนาทั่วโลก แต่แน่นอนว่าธรรมชาติที่เปิดกว้างยังทำให้เป็นเป้าหมายสำหรับนักแสดงที่ไม่ดี และคุณสมบัติเดียวกันที่ทำให้ GitHub มีค่ามาก-คลังเก็บของรหัสโอเพ่นซอร์สขนาดใหญ่เครื่องมือพัฒนาร่วมกันและชุมชนขนาดใหญ่-สามารถถูกทารุณกรรมโดยผู้โจมตีที่ต้องการแจกจ่ายมัลแวร์และข้อมูลที่ละเอียดอ่อน exfiltrate
ในขณะที่ GitHub ได้รับความนิยมเพิ่มขึ้นและเนื่องจากความไว้วางใจที่ได้รับจากรหัสโอเพนซอร์ซจึงเป็นโอกาสที่ไม่ซ้ำใครสำหรับผู้โจมตีที่จะตีผู้ที่ตกเป็นเหยื่อจำนวนมากด้วยแคมเปญเดียวที่ได้รับการออกแบบมาอย่างดี ดังที่ Kucherin กล่าวไว้ว่า“ แพลตฟอร์มการแบ่งปันรหัสเช่น GitHub ถูกใช้โดยนักพัฒนาหลายล้านคนทั่วโลก [so] นักแสดงภัยคุกคามจะยังคงใช้ซอฟต์แวร์ปลอมเป็นล่อติดเชื้อ”
การสร้างการป้องกันของคุณ: วิธีการป้องกันตัวเองใน GitHub
ด้วยธรรมชาติที่ซับซ้อนของแคมเปญ Gitvenom และความเสี่ยงที่เกี่ยวข้องกับการใช้ประโยชน์จากรหัสโอเพนซอร์ซนักพัฒนาจะควรใช้วิธีการเชิงรุกและหลายชั้นเพื่อความปลอดภัย Kaspersky แนะนำขั้นตอนต่อไป:
- การวิเคราะห์รหัส: วิธีปฏิบัติที่มีประโยชน์อีกประการหนึ่งคือการวิเคราะห์รหัสบุคคลที่สามใด ๆ ก่อนที่จะรวมเข้ากับโครงการของคุณเพื่อระบุรูปแบบที่น่าสงสัยหรือมัลแวร์ที่ซ่อนอยู่
- ใช้การป้องกันมัลแวร์ที่แข็งแกร่ง: ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์และอุปกรณ์มือถือของคุณใช้ซอฟต์แวร์ป้องกันไวรัสและเครื่องมือรักษาความปลอดภัยอื่น ๆ ที่ทันสมัย
- ตรวจสอบตัวชี้วัดโครงการอย่างระมัดระวัง: ระวังโครงการด้วยบัญชีที่สร้างขึ้นใหม่ดาวไม่กี่ดวงและวันที่สร้างล่าสุด
- ดาวน์โหลดไฟล์ด้วยข้อควรระวัง: อย่าดาวน์โหลดไฟล์ผ่านลิงก์โดยตรงที่แชร์ภายในแชทช่องที่ไม่รู้จักและเว็บไซต์ที่ไม่ผ่านการตรวจสอบ หากไฟล์มีลิงค์ไปยังที่เก็บ GitHub คุณควรไปที่นั่นเพื่อดาวน์โหลดไฟล์แทน
- การตรวจสอบ GitHub สำหรับมัลแวร์: ผู้โจมตีมักใช้ธรรมชาติที่เปิดกว้างของ GitHub เพื่อแจกจ่ายซอฟต์แวร์ที่เป็นอันตราย
- ตรวจสอบความถูกต้องของโครงการ: ก่อนที่จะดำเนินการรหัสใด ๆ ที่ดาวน์โหลดมาตรวจสอบให้แน่ใจว่าโครงการนั้นเป็นของจริงและมั่นใจได้ว่าไม่มีบทวิจารณ์เชิงลบจากนักพัฒนาอื่น ๆ ระวังตัวอ่านที่ขัดมากเกินไปหรือกระทำประวัติศาสตร์ที่เหมือนกัน
โดยสรุปการดำเนินการป้องกันเหล่านี้จะช่วยให้นักพัฒนาสามารถลดโอกาสในการติดเชื้อจากแคมเปญ Gitvenom หรือแคมเปญในอนาคตใด ๆ
ไม่จำเป็นต้องมีรูปแบบคงที่ – ต้องระวังอย่างต่อเนื่อง
การติดตามภัยคุกคามทางไซเบอร์ที่เกิดขึ้นใหม่และกลยุทธ์การโจมตีที่พัฒนาขึ้นเป็นสิ่งจำเป็นต่อการรักษาความปลอดภัย Kaspersky กล่าวว่าคาดว่าผู้โจมตีจะปล่อยโครงการที่เป็นอันตรายต่อไป“ อาจมีการเปลี่ยนแปลงเล็กน้อย” ในกลยุทธ์เทคนิคและขั้นตอน (TTPS) สิ่งนี้เป็นการยืนยันข้อกำหนดสำหรับการแจ้งเตือนและความมุ่งมั่นที่จะค้นพบภัยคุกคามที่แปลกใหม่และแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย
การต่อสู้กับอาชญากรรมไซเบอร์ยังคงดำเนินต่อไปและ Gitvenom เป็นเพียงหนึ่งในภัยคุกคามที่มีการพัฒนามากมายที่กำหนดเป้าหมายไปที่นักพัฒนาและผู้ใช้ cryptocurrency ระวังตัวและเชิงรุกเพื่อลดความเสี่ยงและป้องกันตัวเองและคนอื่น ๆ ทางออนไลน์
คำแนะนำการอ่านบทความนี้ : บางบทความในเว็บไซต์ ใช้ระบบแปลภาษาอัตโนมัติ คำศัพท์เฉพาะบางคำอาจจะทำให้ไม่เข้าใจ สามารถเปลี่ยนภาษาเว็บไซต์เป็นภาษาอังกฤษ หรือปรับเปลี่ยนภาษาในการใช้งานเว็บไซต์ได้ตามที่ถนัด บทความของเรารองรับการใช้งานได้หลากหลายภาษา หากใช้ระบบแปลภาษาที่เว็บไซต์ยังไม่เข้าใจ สามารถศึกษาเพิ่มเติมโดยคลิกลิ้งค์ที่มาของบทความนี้ตามลิ้งค์ที่อยู่ด้านล่างนี้
Source link
