Virüs bulaşan projeler ortasında Instagram hesaplarıyla etkileşime yönelik bir otomasyon aracı, Bitcoin cüzdanlarının uzaktan yönetilmesini sağlayan bir Telegram botu ve Valorant oyununu oynarken kullanılan bir crack aracı bulunuyor. Lakin tez edilen tüm bu proje fonksiyonları geçersizdi ve kampanyanın gerisindeki siber hatalılar şahsî ve bankacılık bilgilerini çalmayı, panodan kripto cüzdan adreslerini ele geçirmeyi hedefliyordu. Makus niyetli faaliyetlerin sonucu olarak siber hatalılar 5 Bitcoin (soruşturma sırasındaki bedeli yaklaşık 485 bin dolar) çalmayı başardılar. Kaspersky, virüslü depoların dünya çapında kullanıldığını ve en çok olayın Brezilya, Türkiye ve Rusya’da görüldüğünü tespit etti.
Bu depolar, geliştiricilerin kodlarını yönetmelerine ve paylaşmalarına imkan tanıyan bir platform olan GitHub’da birkaç yıldır saklanıyordu. Saldırganlar, muhtemelen yapay zeka ile oluşturulmuş ilgi alımlı proje açıklamaları kullanarak GitHub’daki depoların potansiyel gayelere yasal görünmesini sağlamaya çalıştılar. Bu depolardaki kodlar çalıştırıldığında, kurbanın aygıtına makûs hedefli yazılım bulaşıyor ve saldırganlar tarafından uzaktan denetim edilebiliyordu.
Projeler Python, JavaScript, C, C++ ve C# üzere birden fazla programlama lisanında yazılmış olsa da, virüslü projelerin içinde depolanan makus hedefli yüklerin hedefi birebirdi: Saldırganların denetimindeki GitHub deposundan öteki berbat maksatlı bileşenleri indirmek ve bunları çalıştırmak. Bu bileşenler ortasında şifreleri, banka hesap bilgilerini, kayıtlı kimlik bilgilerini, kripto para cüzdanı bilgilerini ve tarama geçmişini toplayan, bunları bir .7z arşivine paketleyen ve Telegram aracılığıyla yükleyen bir hırsızlık aracı yer alıyor.
Hırsızlık yazılımının siber saldırganlara gönderdiği arşivin yapısı
İndirilen öteki ziyanlı bileşenler ortasında, inançlı şifreli bir temas aracılığıyla kurbanın bilgisayarını uzaktan izlemek ve denetim etmek için kullanılabilen uzaktan idare araçları ve pano içeriğinde kripto para cüzdanı adreslerini arayan ve bunları saldırganın denetim ettiği adreslerle değiştiren bir pano korsanı bulunuyor. Saldırgan tarafından denetim edilen Bitcoin cüzdanı, Kasım 2024’te yaklaşık 5 BTC (araştırma sırasındaki kıymeti yaklaşık 485 bin dolar) meblağında bir meblağ aldı.
Kaspersky GReAT Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi: “GitHub üzere kod paylaşım platformları dünya çapında milyonlarca geliştirici tarafından kullanıldığından, tehdit aktörleri gelecekte de uydurma yazılımları bir bulaşma tuzağı olarak kullanmaya devam edecekler. Bu nedenle, üçüncü taraf kodlarının işlenmesini çok dikkatli bir biçimde ele almak çok kıymetlidir. Bu çeşit bir kodu çalıştırmaya yahut mevcut bir projeye entegre etmeye çalışmadan evvel, hangi hareketlerin gerçekleştirildiğini uygunca denetim etmekte yarar var. Bu sayede uydurma projeleri tespit etmek ve bunlara yerleştirilen makûs emelli kodların geliştirme ortamını tehlikeye atmak için kullanılmasını önlemek daha kolay olacaktır.”
