Злоумышленники распространяют программы для кражи данных и криптовалюты россиян под видом проектов с открытым исходным кодом

В рамках вредоносной кампании злоумышленники могли украсть около 485 тысяч долларов в биткойнах*

Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили, что на GitHub распространяются вредоносные программы для ПК под видом проектов с открытым исходным кодом. Злоумышленники маскируют зловреды под Telegram-бота для управления криптовалютными кошельками, инструменты для автоматизации работы с Instagram-аккаунтами**, а также под читы для Valorant — популярной многопользовательской игры. Цель атакующих — украсть конфиденциальные данные и деньги людей. По данным «Лаборатории Касперского», с этой кампанией столкнулись пользователи по всему миру. Однако наибольшее количество атак зафиксировано в России, Турции и Бразилии.  

Эксперты выявили на GitHub более 200 репозиториев с заражёнными пакетами. Чтобы привлечь внимание потенциальных жертв, злоумышленники использовали привлекательные описания, вероятно созданные с использованием нейросетей. Однако на самом деле код в этих репозиториях не выполнял заявленных действий. Вместо этого он устанавливал на устройства пользователей вредоносные программы: стилер, троянец AsyncRAT и бэкдор Quasar. Эти зловреды позволяли злоумышленникам удалённо мониторить действия пользователя на заражённом устройстве и управлять им, а также красть пароли, платёжные данные, историю браузера и передавать эти данные атакующим. 

«Ещё одной вредоносной программой, которая устанавливалась на заражённое устройство в рамках обнаруженной кампании, оказался клиппер. Используя такие зловреды, злоумышленники могут подменять адреса криптокошельков в буфере обмена — заменять их на свои. Мы провели анализ и выяснили, что в ноябре 2024 года на биткойн-кошелёк, принадлежащий атакующим, была переведена сумма в размере около 5 биткойнов. Это примерно 485 тысяч долларов», — комментирует Георгий Кучерин, эксперт Kaspersky GReAT.

Решения «Лаборатории Касперского» защищают пользователей от вредоносных программ, которые используются в рамках обнаруженной кампании.

* По курсу на декабрь 2024 года.
** Принадлежит компании Meta, её деятельность признана экстремистской и запрещена в России.