Вредоносный код в проектах Visual Studio на GitHub распространяет зловред Keyzetsu

Злоумышленники использовали функции автоматизации GitHub и проекты Visual Studio, чтобы продвигать новый вариант вредоносного ПО Keyzetsu. Он перехватывает данные из буфера обмена и позволяет красть криптовалютные платежи.

Хакеры создают репозитории GitHub с именами, которые за счёт накрутки получают более высокий рейтинг в результатах поиска. Устройства пользователей, которые загружают файлы из этих репозиториев, заражаются вредоносным ПО, скрытым в в проектах Visual Studio. Оно запускается во время сборки проекта. 

Согласно отчёту Checkmarx, кампания использует несколько репозиториев GitHub, названных в честь популярных тем и проектов. GitHub Actions позволяет обновлять их с очень высокой частотой путём внесения в файл журнала незначительных случайных изменений. Это делается для того, чтобы репозитории занимали высокие позиции в результатах поиска, которые сортируются по принципу «последних обновлений». Также злоумышленники создают поддельные учётные записи GitHub, которые ставят звёзды этим репозиториям, чтобы создать ложное ощущение популярности и надёжности проектов. 

Полезная нагрузка вредоносного ПО обычно скрыта внутри событий сборки во вредоносных файлах проекта Visual Studio, хотя встречаются и некоторые другие варианты. Событие сборки Visual Studio — это команды, которые необходимо выполнить на разных этапах данного процесса. Например, вредоносный проект ниже использует PreBuildEvent для записи вредоносного ПО на диск и выполнения его до компиляции проекта.

Он состоит из пакетного сценария и сценария PowerShell в кодировке Base64, который выполняется последовательно: очистить временные файлы; получить IP-адрес и определить, находится ли он в России; загрузить зашифрованные файлы с указанного URL-адреса в