Milano, 24 febbraio 2025. Il Global Research & Analysis Team (GReAT) di Kaspersky ha scoperto una nuova campagna malevola, soprannominata GitVenom, che prende di mira gamer e cripto investitori attraverso centinaia di repository open source contenenti malware multistadio. Tra i vari sistemi colpiti sono stati individuati uno strumento di automazione per interagire con gli account Instagram, un bot di Telegram che consente la gestione da remoto di portafogli Bitcoin e un crack tool per giocare a Valorant. Tuttavia, le funzionalità di questi presunti strumenti si sono rivelate false e i cybercriminali dietro la campagna sono riusciti a rubare dati personali e bancari, sottraendo anche gli indirizzi dei cryptowallet dalla clipboard. Kaspersky ha scoperto che, attraverso queste attività, i criminali sono riusciti a rubare 5 Bitcoin (circa 485.000 dollari al momento dell'indagine) in tutto il mondo, ma il maggior numero di casi si è verificato in in Brasile, Turchia e Russia.
I cybercriminali hanno ottenuto i repository archiviati su GitHub, una piattaforma che consente agli sviluppatori di gestire e condividere il proprio codice, cercando di farli sembrare legittimi tramite descrizioni di progetti interessanti, probabilmente generate con l'intelligenza artificiale. Tuttavia, una volta eseguito il codice di questi repository, il dispositivo della vittima veniva infettato dal malware e poteva essere controllato a distanza.
Sebbene i progetti fossero scritti in diversi linguaggi di programmazione, come Python, JavaScript, C, C++ e C#, i payload dannosi contenuti nei progetti violati avevano sempre lo stesso obiettivo, ovvero scaricare altri componenti dannosi da un repository su GitHub controllato dagli aggressori ed eseguirli. Questi componenti includono uno stealer che acquisisce password, informazioni sui conti bancari, credenziali salvate, dati dei portafogli di criptovalute e la cronologia di navigazione degli utenti, per poi comprimere il tutto in un archivio .7z e trasferirlo ai cybercriminali tramite Telegram.
Tra gli altri componenti dannosi scaricati sono stati individuati alcuni tool per la gestione da remoto, utilizzati per monitorare e controllare a distanza il computer della vittima attraverso una connessione sicura e crittografata, e un clipboard hijacker che cercava gli indirizzi dei portafogli di criptovalute nel contenuto degli appunti, sostituendoli con quelli controllati dagli aggressori. In particolare, il portafoglio Bitcoin controllato dall’aggressore ha ricevuto una somma di circa 5 BTC (circa 485.000 dollari al momento della ricerca) nel novembre 2024.
“Le piattaforme come GitHub per la condivisione del codice vengono utilizzate da milioni di sviluppatori in tutto il mondo e gli aggressori continueranno sicuramente anche in futuro a utilizzare software falsi per attirare gli utenti. Per questo motivo, è fondamentale gestire con estrema attenzione l'elaborazione del codice proveniente da terze parti. Prima di eseguire il codice o di integrarlo in un progetto esistente, è fondamentale controllare accuratamente tutte le azioni eseguite. In questo modo, sarà molto facile individuare i progetti falsi e impedire che il codicedannoso venga utilizzato per compromettere l'ambiente di sviluppo”,ha commentato Georgy Kucherin, Security Researcher di Kaspersky GReAT
Global Research & Analysis Team
Fondato nel 2008, il Global Research & Analysis Team (GReAT) opera nel cuore di Kaspersky, scoprendo APT, campagne di cyberspionaggio, i principali malware, i ransomware e le tendenze criminali sotterranee in tutto il mondo. Oggi GReAT è composto da oltre 40 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Talentuosi professionisti della sicurezza forniscono la leadership aziendale nella ricerca e nell’innovazione anti-malware, apportando competenze, passione e curiosità senza pari alla scoperta e all’analisi delle minacce informatiche.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
Contatto di redazione:kaspersky@noesis.net
