GitVenom Malware

Eksperter på nettsikkerhet slår alarm over en pågående kampanje som jakter på spillere og kryptovaluta-entusiaster gjennom villedende åpen kildekode-prosjekter på GitHub. Denne operasjonen, kalt GitVenom, spenner over hundrevis av depoter, som alle inneholder falske prosjekter designet for å stjele sensitiv informasjon.

Blant de uredelige prosjektene er et Instagram-automatiseringsverktøy, en Telegram-bot for å administrere Bitcoin-lommebøker og en sprukket versjon av Valorant. Disse verktøyene fungerer imidlertid ikke som annonsert. I stedet er de feller satt av nettkriminelle for å stjele personlige og økonomiske data, inkludert kryptovaluta lommebokdetaljer kopiert til utklippstavlen.

Millioner i fare: En langvarig operasjon

Den truende kampanjen har ført til tyveri av minst fem bitcoins til en verdi av omtrent 456 600 dollar. Forskere mener operasjonen har vært aktiv i over to år, med noen villedende depoter som dateres tilbake til den perioden. Det mest betydelige antallet infeksjonsforsøk er registrert i Russland, Brasil og Tyrkia, selv om virkningen kan være vidtrekkende.

En flerspråklig trussel med ett enkelt mål

De uredelige GitHub-prosjektene er skrevet på flere programmeringsspråk, inkludert Python, JavaScript, C, C++ og C#. Til tross for variasjonen, forblir målet det samme: å utføre en skjult nyttelast som laster ned ytterligere usikre komponenter fra et angriperkontrollert GitHub-lager.

En av de primære truslene er en Node.js-basert informasjonsteler som trekker ut sensitive data som lagrede passord, bankdetaljer, legitimasjon for kryptovaluta-lommebok og nettleserhistorikk. Disse dataene komprimeres til et .7z-arkiv og overføres i hemmelighet til angriperne via Telegram.

Fjernovertakelse og kryptotyveri

Bortsett fra å samle inn legitimasjon, distribuerer de falske GitHub-prosjektene også fjernadministrasjonsverktøy som AsyncRAT og Quasar RAT. Disse programmene lar nettkriminelle ta full kontroll over infiserte enheter og utføre kommandoer eksternt.

I tillegg brukes en spesialisert type skadelig programvare kjent som en clipper for å kapre kryptovalutatransaksjoner. Når et offer kopierer en kryptolommebokadresse, bytter skadelig programvare den med en angriperkontrollert adresse, og viderekobler penger uten brukerens viten.

Faren for falske åpen kildekode-prosjekter

Med millioner av utviklere som er avhengige av plattformer som GitHub, fortsetter trusselaktører å bruke falsk programvare som en effektiv infeksjonsmetode. Dette understreker viktigheten av å granske tredjepartskode før den integreres i et prosjekt. Å kjøre ubekreftet kode uten skikkelig analyse kan utsette brukere for alvorlige sikkerhetsrisikoer.

Før du kjører et åpen kildekode-skript, er det viktig å grundig undersøke innholdet, bekrefte kilden og sikre at det ikke utfører uautoriserte handlinger. Forsiktighet er det beste forsvaret mot slike villedende kampanjer.

E-sportsturneringer målrettet av svindlere

I en relatert utvikling har cybersikkerhetsforskere avdekket en annen ordning rettet mot Counter-Strike 2 (CS2)-spillere under store e-sportbegivenheter som IEM Katowice 2025 og PGL Cluj-Napoca 2025.

Svindlere har kapret YouTube-kontoer for å etterligne kjente profesjonelle spillere som S1mple, NiKo og Donk. Ved å utgi seg for disse figurene, lokker nettkriminelle intetanende fans til falske CS2-hudgaver. Ofre som faller for taktikken risikerer å miste Steam-kontoene sine, beholdningen av kryptovaluta og verdifulle gjenstander i spillet.

Vær på vakt mot bedrag på nettet

Både GitVenom-operasjonen og de uredelige CS2-gavene fremhever den økende sofistikeringen av cybertrusler rettet mot spillere og investorer i kryptovaluta. Etter hvert som disse ordningene utvikler seg, er det fortsatt viktig å være på vakt, verifisere kilder og praktisere beste praksis for cybersikkerhet for å unngå nettfeller.