Предупреждение о безопасности: Обнаружен вредоносный бот на GitHub, который крадет приватные ключи пользователей

За последние часы обнаружена активная кампания по взлому кода на GitHub, которая ставит под угрозу разработчиков по всему миру. Виновником является мошеннический бот, внедряющийся в проекты, такие как polymarket-copy-trading-bot, и внедряющий вредоносные зависимости для кражи учетных данных и средств пользователей.

Как работает атака: Механизм кражи приватных ключей

Вектор атаки сложен, но разрушителен. Когда скомпрометированный проект запускается, вредоносный код автоматически читает приватный ключ кошелька пользователя прямо из файла .env (где обычно хранятся чувствительные данные) и передает его на контролируемые злоумышленниками серверы. Всё это происходит через вредоносную зависимость, скрытую под казалось бы легитимным названием, что затрудняет её обнаружение на первый взгляд.

Процесс практически незаметен для пользователя: при запуске приложения бот выполняет exfiltration данных в фоновом режиме без явных предупреждений. Эта техника внедрения зависимостей показала свою высокую эффективность против разработчиков, которые не проверяют тщательно каждое обновление пакетов.

Защищайтесь: Предупреждающие сигналы и немедленные меры защиты

Эту угрозу безопасности необходимо воспринимать всерьез. Если вы используете проекты на GitHub, связанные с торговлей или управлением цифровыми активами, обязательно проверьте:

• Ваш файл .env, чтобы убедиться, что в нем не раскрыты приватные ключи
• Установленные зависимости в проекте и удалите любые подозрительные пакеты
• Журналы доступа к вашему кошельку за последние дни для выявления несанкционированных движений
• Возможность регенерации ваших приватных ключей при наличии подозрений на компрометацию

Лучшая защита — это бдительность: следите за изменениями в используемых репозиториях и проверяйте источники любых зависимостей перед их добавлением в ваш код. В сфере цифровой безопасности своевременное предупреждение — это разница между защитой и атакой.