Criminelen misbruiken GitHub en YouTube om cryptowallets leeg te roven

In dit artikel:

Cybercriminelen hebben volgens onderzoek van Check Point een geraffineerde campagne opgezet die vertrouwde platforms misbruikt om malware als legitieme crypto- en gokhulpmiddelen te verpakken. De aanvallers richtten zich vooral op cryptobeleggers en online gokkers en verspreidden zogenaamd winstgevende software — zoals sniperbots en voorspellingstools voor spellen — via GitHub, SourceForge, YouTube en zelfs positieve vermeldingen op VirusTotal.

De kwaadaardige code bevat een clipper: malware die het klembord in de gaten houdt en gekopieerde wallet-adressen stilletjes vervangt door adressen van de aanvallers. Gebruikers denken een normale transactie te doen, maar hun crypto wordt direct naar de criminelen gestuurd. Check Point vond meer dan 15.500 verschillende wallet-adressen (onder meer voor BTC, ETH, XMR, DOGE, ADA en LTC) die door de campagne werden gebruikt; die adressen worden na succesvolle diefstallen regelmatig verwisseld om tracking via de blockchain te bemoeilijken.

Om vertrouwen te wekken manipuleerden de aanvallers reputatie-indicatoren. Repositories kregen kunstmatig opgekrikte sterren, forks, beoordelingen en downloadcijfers; er bestond een netwerk van onderling elkaar steunende GitHub-accounts — door de onderzoekers “Ghost Networks” genoemd — die elkaars projecten promootten. Ook werden promotievideo’s geplaatst op een YouTube-kanaal met meer dan 91.000 abonnees, waarbij AI-gegenereerde presentatoren de tools demonstreerden. Op SourceForge werden ruim 44.000 downloads geteld (veel uit Pakistan en India en opvallend veel downloads van Android-apparaten, terwijl de software alleen voor Windows en macOS beschikbaar was), wat duidt op mogelijk gebruik van een apparaatfarm om populariteit te faken. Via GitHub alleen werden meer dan 5.000 downloads geregistreerd; de macOS-versie van “Aviator Predictor” was meer dan 1.250 keer gedownload.

Check Point waarschuwt dat aanvallers steeds professioneler reputatiesystemen, sociale media en AI inzetten om slachtoffers te misleiden, waardoor het lastiger wordt om echt van vals te onderscheiden. Praktische voorzorgsmaatregelen: download alleen software van vertrouwde, goed gedocumenteerde bronnen; controleer commit‑geschiedenis en accountactiviteit op GitHub; verifieer bestandshashes en laat binaries scannen door meerdere betrouwbare antivirusdiensten; wees sceptisch bij ‘garanties’ voor snelle winsten; gebruik hardware wallets of bevestig ontvangeradressen op het apparaat zelf voordat je crypto verzendt.