最近发现的一个网络攻击活动被称为Gitvenom，针对Github用户，通过在看似合法的开源项目中嵌入恶意代码。卡巴斯基的研究人员Georgy Kucherin和Joao Godinho识别了这一行动，涉及网络犯罪分子创建虚假的代码库，模仿真实的软件工具。

研究人员描述道：

在Gitvenom活动期间，背后的威胁行为者在Github上创建了数百个包含恶意代码的虚假项目的代码库——例如，一个用于与Instagram账户互动的自动化工具，一个允许管理比特币钱包的Telegram机器人，以及一个用于视频游戏Valorant的黑客工具。

攻击者不遗余力地使这些代码库看起来真实，使用AI生成的README.md文件，添加多个标签，并人为地夸大提交历史以增强可信度。

恶意代码的嵌入方式因虚假项目使用的编程语言而异。在Python代码库中，攻击者使用长行空白后跟脚本解密命令来隐藏有效载荷。在基于Javascript的项目中，他们将恶意软件隐藏在一个解码并执行Base64编码脚本的函数中。对于C、C++和C#项目，攻击者在Visual Studio项目文件中放置一个隐藏的批处理脚本，确保在构建项目时恶意软件运行。

一旦执行，这些脚本会从攻击者控制的Github代码库下载额外的恶意组件。这些组件包括一个基于Node.js的窃取工具，提取凭据、加密货币钱包数据和浏览历史，然后通过Telegram发送给攻击者，以及像AsyncRAT和Quasar后门这样的开源远程访问工具。还部署了一个剪贴板劫持程序，将复制的加密货币钱包地址替换为攻击者控制的地址。

Gitvenom活动至少活跃了两年，全球范围内检测到感染尝试，特别是在俄罗斯、巴西和土耳其。卡巴斯基的研究人员强调了恶意代码库日益增长的风险，警告道：

由于Github等代码共享平台被全球数百万开发者使用，威胁行为者肯定会继续使用虚假软件作为感染诱饵。

“因此，谨慎处理第三方代码的处理至关重要。在尝试运行此类代码或将其集成到现有项目之前，彻底检查其执行的操作是至关重要的，”他们警告道。随着开源平台继续被网络犯罪分子利用，开发者必须保持警惕，以防止其环境被攻陷。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。