GitVenom 活動是一種復雜的網絡威脅，利用 GitHub 存儲庫傳播惡意軟件并竊取加密貨幣。該活動通過創建數百個看似合法但包含惡意代碼的虛假 GitHub 存儲庫來實施攻擊，旨在誘騙開發人員下載和執行惡意代碼，從而導致嚴重的財務損失。

惡意代碼部署

GitVenom 背后的攻擊者使用多種編程語言（如 Python、JavaScript、C、C++ 和 C#）制作虛假項目。這些項目通常聲稱提供社交媒體或加密貨幣管理的自動化工具等功能，但實際上隱藏了惡意代碼，執行惡意操作。

惡意存儲庫的示例結構

Python 項目：攻擊者使用一種技術，在一長行制表符后隱藏解密并執行惡意 Python 腳本的代碼。

JavaScript 項目：嵌入了惡意函數，用于解碼并執行 Base64 編碼的腳本。

C、C++ 和 C# 項目：惡意批處理腳本被隱藏在 Visual Studio 項目文件中，以便在構建過程中執行。

這些虛假項目部署的惡意負載會從攻擊者控制的 GitHub 存儲庫下載其他惡意組件。這些組件包括一個 Node.js 竊取程序，用于收集憑證和加密貨幣錢包數據等敏感信息，并通過 Telegram 將其上傳給攻擊者。此外，攻擊者還使用了開源工具如 AsyncRAT 和 Quasar 后門。

根據 SecureList 的報告，攻擊者還使用了剪貼板劫持程序，將加密貨幣錢包地址替換為攻擊者控制的地址，從而導致嚴重的財務盜竊。值得注意的是，一個攻擊者控制的比特幣錢包在 2024 年 11 月收到了約 5 BTC（當時價值約 485,000 美元）。

影響與緩解

GitVenom 活動已經活躍多年，全球范圍內都有感染嘗試的報告，尤其是在俄羅斯、巴西和土耳其。這一活動凸顯了盲目運行 GitHub 或其他開源平臺代碼所帶來的風險。

為了降低風險，開發人員在執行或集成第三方代碼之前必須徹底檢查代碼。這包括檢查可疑的代碼模式，并確保代碼功能與描述一致。隨著開源代碼的廣泛使用，類似攻擊活動的可能性也在增加，這進一步強調了在處理第三方代碼時保持警惕的必要性。

參考及來源：https://gbhackers.com/gitvenom-campaign-abuses-thousands-of-github-repositories/