{"id":29483,"date":"2025-03-03T19:38:44","date_gmt":"2025-03-03T17:38:44","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29483"},"modified":"2025-03-03T19:40:23","modified_gmt":"2025-03-03T17:40:23","slug":"malicious-code-in-github","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/malicious-code-in-github\/29483\/","title":{"rendered":"Codice dannoso su GitHub: in che modo gli hacker prendono di mira i programmatori"},"content":{"rendered":"

Riesci a immaginare un mondo in cui ogni volta che vuoi andare da qualche parte devi reinventare la ruota e costruire una bicicletta da zero? \u00c8 difficile crederci. Perch\u00e9 reinventare qualcosa che gi\u00e0 esiste e funziona perfettamente? La stessa logica si applica alla programmazione: gli sviluppatori affrontano compiti di routine ogni giorno e, invece di inventare le proprie ruote e biciclette (che potrebbero anche non essere all\u2019altezza), prendono semplicemente il codice gi\u00e0 pronto dagli archivi open source di GitHub.<\/p>\n

Questa soluzione \u00e8 accessibile a chiunque, compresi i criminali che usano il miglior codice open source gratuito del mondo<\/em> come esca per i loro attacchi. Ci sono molte prove a sostegno di questa tesi, ed ecco l\u2019ultima: i nostri esperti hanno scoperto una campagna dannosa attiva, GitVenom, che prende di mira gli utenti di GitHub.<\/p>\n

Cos\u2019\u00e8 GitVenom?<\/h2>\n

GitVenom \u00e8 il nome che abbiamo dato a questa campagna dannosa, in cui attori sconosciuti hanno creato oltre 200 archivi contenenti progetti falsi con codice dannoso: bot Telegram, strumenti per hackerare il gioco Valorant, utility di automazione di Instagram e gestori di portafogli Bitcoin. A prima vista, tutti gli archivi sembrano legittimi. Particolarmente impressionante \u00e8 il file README.MD ben progettato, una guida su come lavorare con il codice, con istruzioni dettagliate in pi\u00f9 lingue. Oltre a ci\u00f2, gli autori degli attacchi hanno aggiunto numerosi tag ai loro archivi.<\/p>\n

\"<\/a>

Gli autori degli attacchi hanno utilizzato l\u2019intelligenza artificiale per scrivere istruzioni dettagliate in pi\u00f9 lingue<\/p><\/div>\n

Un altro indicatore che rafforza l\u2019apparente legittimit\u00e0 di questi archivi \u00e8 l\u2019elevato numero di commit. Gli archivi degli autori degli attacchi ne contengono tonnellate: decine di migliaia. Naturalmente, gli autori degli attacchi non aggiornavano manualmente ciascuno dei 200 archivi per preservarne l\u2019autenticit\u00e0, ma utilizzavano semplicemente file di marcatura temporale che si aggiornavano ogni pochi minuti. La combinazione di documentazione dettagliata e numerosi commit crea l\u2019illusione che il codice sia autentico e sicuro da usare.<\/p>\n

GitVenom: due anni di attivit\u00e0<\/h2>\n

La campagna \u00e8 iniziata molto tempo fa: l\u2019archivio falso pi\u00f9 vecchio trovato ha circa due anni. Nel frattempo, GitVenom ha colpito sviluppatori in Russia, Brasile, Turchia e altri paesi. Gli autori degli attacchi utilizzavano un\u2019ampia gamma di linguaggi di programmazione: il codice dannoso \u00e8 stato trovato negli archivi Python, JavaScript, C, C# e C++.<\/p>\n

Per quanto riguarda la funzionalit\u00e0 di questi progetti, le caratteristiche descritte nel file README non corrispondono nemmeno al codice effettivo: in realt\u00e0, il codice non fa nemmeno la met\u00e0 di ci\u00f2 che promette. Ma \u201cgrazie\u201d a questo, le vittime finiscono per scaricare componenti dannosi, tra cui i seguenti:<\/p>\n