A Equipa Global de Investigação e Análise (GReAT) da Kaspersky descobriu centenas de repositórios de código aberto infetados com malware multifacetado, dirigidos a gamers e investidores de criptomoedas no âmbito de uma nova campanha apelidada pela Kaspersky de GitVenom. Entre os diferentes códigos, encontram-se um instrumento de automação para interagir com contas de Instagram, um bot do Telegram que permite a gestão remota de carteiras Bitcoin e uma ferramenta de crack para jogar Valorant. Esta funcionalidade era falsa e os cibercriminosos por detrás da campanha roubaram dados pessoais e bancários e desviaram endereços de criptomoedas da área de transferência. Através destes esquemas, os cibercriminosos conseguiram roubar 5 Bitcoins (cerca de $485.000 na altura da investigação). A Kaspersky detetou o uso dos repositórios infetados em todo o mundo, com a maioria dos casos no Brasil, Turquia e Rússia.
No terceiro trimestre de 2022, os investigadores da Kaspersky observaram um aumento acentuado das variantes de mineradores criptográficos - um crescimento global de mais de 230% em comparação com o mesmo período do ano passado. O número é três vezes superior ao do terceiro trimestre de 2021 e ultrapassa agora 150.000. Permanecendo escondidos durante meses, os cibercriminosos utilizam o processamento do computador da vítima para extrair a criptomoedas, com um rendimento que atinge até $40.500 (2 BTC) por mês. O Monero (XMR) é a criptomoedas mais popular para a mineração maliciosa.
A 8 de Agosto, a CheckPoint publicou um relatório sobre a descoberta de 10 pacotes Python maliciosos em PyPI, o repositório mais comummente utilizado pelos programadores de software. PyPI. No seguimento desta pesquisa, peritos Kaspersky utilizaram o sistema automatizado interno para monitorizar repositórios de código aberto e descobriram 2 pacotes maliciosos ainda mais perigosos no mesmo repositório. Mascarados de um dos mais populares pacotes open-source chamado "requests", roubam dados de carteiras criptográficas, Discord tokens, cookies, e até credenciais da Steam e do Minecraft dos dispositivos das vítimas, afetando potencialmente milhões de utilizadores.
Fingindo ser um dos pacotes open-source mais populares, apelidado de 'requests', a única diferença em relação aos pacotes maliciosos Python está no nome - 'ultrarequests' e 'pyquest' em vez do nome original. Para enganar as vítimas na instalação de um pacote malicioso, os atacantes utilizaram a descrição de pacotes 'requests' legítimos para falsificar números de instalação de download e revisões de utilizadores. As ligações na descrição também conduzem a páginas reais do pacote de 'requests', bem como ao correio electrónico do seu autor.
