Tek bir yazılımla 500 bin dolarlık Bitcoin çaldılar

Virüs bulaşan projeler ortasında Instagram hesaplarıyla etkileşime yönelik bir otomasyon aracı, Bitcoin cüzdanlarının uzaktan yönetilmesini sağlayan bir Telegram botu ve Valorant oyununu oynarken kullanılan bir crack aracı bulunuyor. Fakat argüman edilen tüm bu proje fonksiyonları düzmeceydi ve kampanyanın ardındaki siber hatalılar ferdî ve bankacılık bilgilerini çalmayı, panodan kripto cüzdan adreslerini ele geçirmeyi hedefliyordu. Makûs niyetli faaliyetlerin sonucu olarak siber hatalılar 5 Bitcoin (soruşturma sırasındaki bedeli yaklaşık 485 bin dolar) çalmayı başardılar. Kaspersky, virüslü depoların dünya çapında kullanıldığını ve en çok hadisenin Brezilya, Türkiye ve Rusya’da görüldüğünü tespit etti.

Bu depolar, geliştiricilerin kodlarını yönetmelerine ve paylaşmalarına imkan tanıyan bir platform olan GitHub’da birkaç yıldır saklanıyordu. Saldırganlar, muhtemelen yapay zeka ile oluşturulmuş ilgi cazibeli proje açıklamaları kullanarak GitHub’daki depoların potansiyel amaçlara legal görünmesini sağlamaya çalıştılar. Bu depolardaki kodlar çalıştırıldığında, kurbanın aygıtına makus maksatlı yazılım bulaşıyor ve saldırganlar tarafından uzaktan denetim edilebiliyordu.

Projeler Python, JavaScript, C, C++ ve C# üzere birden fazla programlama lisanında yazılmış olsa da, virüslü projelerin içinde depolanan makûs hedefli yüklerin emeli birebirdi: Saldırganların denetimindeki GitHub deposundan öteki makus gayeli bileşenleri indirmek ve bunları çalıştırmak. Bu bileşenler ortasında şifreleri, banka hesap bilgilerini, kayıtlı kimlik bilgilerini, kripto para cüzdanı datalarını ve tarama geçmişini toplayan, bunları bir .7z arşivine paketleyen ve Telegram aracılığıyla yükleyen bir hırsızlık aracı yer alıyor.

Hırsızlık yazılımının siber saldırganlara gönderdiği arşivin yapısı

İndirilen öteki ziyanlı bileşenler ortasında, inançlı şifreli bir ilişki aracılığıyla kurbanın bilgisayarını uzaktan izlemek ve denetim etmek için kullanılabilen uzaktan idare araçları ve pano içeriğinde kripto para cüzdanı adreslerini arayan ve bunları saldırganın denetim ettiği adreslerle değiştiren bir pano korsanı bulunuyor. Saldırgan tarafından denetim edilen Bitcoin cüzdanı, Kasım 2024’te yaklaşık 5 BTC (araştırma sırasındaki pahası yaklaşık 485 bin dolar) fiyatında bir meblağ aldı.

Kaspersky GReAT Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi: “GitHub üzere kod paylaşım platformları dünya çapında milyonlarca geliştirici tarafından kullanıldığından, tehdit aktörleri gelecekte de geçersiz yazılımları bir bulaşma tuzağı olarak kullanmaya devam edecekler. Bu nedenle, üçüncü taraf kodlarının işlenmesini çok dikkatli bir formda ele almak çok kıymetlidir. Bu cins bir kodu çalıştırmaya yahut mevcut bir projeye entegre etmeye çalışmadan evvel, hangi aksiyonların gerçekleştirildiğini uygunca denetim etmekte yarar var. Bu sayede uydurma projeleri tespit etmek ve bunlara yerleştirilen berbat gayeli kodların geliştirme ortamını tehlikeye atmak için kullanılmasını önlemek daha kolay olacaktır.”