卡巴斯基的安全列表揭露了GitVenom活动，该活动涉及使用虚假的GitHub存储库来分发恶意软件。GitVenom以看似合法的开源项目的开发人员为目标，窃取凭证、加密货币等。

在现代软件开发中，开源代码至关重要，因为它为开发人员提供了庞大的项目库，避免了重复工作并加快了项目完成速度。然而，这种广泛可用性吸引了恶意行为者，包括受国家支持的团体和网络犯罪分子，他们利用这种模式传播恶意软件。

最近一项名为GitVenom的活动以GitHub用户为目标，通过欺骗性项目体现了这一趋势，正如卡巴斯基Securelist最新研究(由Georgy Kucherin和Joao Godinho撰写)中所详述的那样。

GitVenom涉及在GitHub上创建大量虚假存储库，伪装成合法项目。这些存储库包含伪装成看似有用的工具的恶意代码，例如Instagram自动化软件、Telegram比特币钱包机器人和Valorant黑客工具。

研究人员发现，作案者投入了大量精力来使这些存储库看起来真实可信。他们使用精心制作的README.md文件(可能由人工智能协助生成)，提供项目描述和编译说明。此外，他们还采用添加大量标签和通过操纵时间戳人为增加提交次数等策略来增强真实性的假象。

有趣的是，这些项目中的恶意代码因所使用的编程语言而异，包括Python、JavaScript、C、C++和C#。虽然这些项目承诺提供特定的功能，但它们最终执行毫无意义的操作并隐藏恶意软件。

例如，在Python 项目中，恶意代码隐藏在长行制表符(约2000个)中，然后解密并执行辅助Python脚本。JavaScript项目具有从主文件调用的恶意函数，而C、C++和C#项目在Visual Studio项目文件中嵌入恶意批处理脚本，配置为在构建过程中运行。

尽管实现方式各异，但这些有效载荷有一个共同的目标：从攻击者控制的指定GitHub存储库下载其他组件。这些组件包括一个Node.js信息窃取程序，旨在收集敏感数据，如密码、银行详细信息、凭证、加密货币钱包信息和浏览历史记录。然后这些数据被压缩并通过Telegram泄露给攻击者。

此外，下载的组件通常包括AsyncRAT和Quasar RAT等远程管理工具，使攻击者能够控制受感染的系统。还部署了剪贴板劫持程序，旨在将复制到剪贴板的加密货币钱包地址替换为攻击者控制的地址，从而将资金重定向到犯罪者。与此活动相关的一个比特币钱包在2024年11月收到了约5 BTC(485000美元)。

GitVenom活动已经活跃了至少两年，其有效性从感染尝试的全球范围来看是显而易见的，主要集中在俄罗斯、巴西和土耳其。鉴于GitHub等代码共享平台的流行，恶意行为者将继续利用这一途径。

因此，谨慎对待第三方代码至关重要。在执行或集成之前彻底检查任何代码执行的操作对于识别虚假项目和防止受到攻击至关重要。