Stargazers Ghost Network oprettet via falske GitHub-konti for at sprede malware
En sofistikeret trusselsaktør kendt som Stargazer Goblin har bygget et vidtstrakt netværk af falske GitHub-konti for at lette en Distribution-as-a-Service (DaaS) operation. Denne ordning har været medvirkende til at sprede forskellige informationstjælende malware, der har genereret ulovlige overskud på $100.000 i løbet af det seneste år.
Table of Contents
Stargazers Ghost Network
Dette omfattende netværk, kaldet "Stargazers Ghost Network" af Check Point-forskere, består af over 3.000 GitHub-konti. Disse konti bruges til at distribuere ondsindede links og malware på tværs af tusindvis af lagre. De malware-familier, der formidles via dette netværk, omfatter Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer og RedLine.
Struktur og strategi
Stargazers Ghost Network anvender adskillige strategier for at opretholde sine operationer og undgå opdagelse:
- Kontodiversitet : Forskellige konti har til opgave at udføre specifikke roller, såsom hosting af phishing-skabeloner, levering af billeder eller distribution af malware forklædt som cracket software eller spilsnydekoder.
- Resilience Tactics : Når GitHub opdager og forbyder bestemte konti, tilpasser netværket sig hurtigt ved at opdatere repositories med nye links, hvilket minimerer driftsforstyrrelser.
- Legitimitetsmimik : Kontierne engagerer sig i aktiviteter som hovedrolle, forgrening og visning af lagre for at skabe et udtryk af legitimitet.
Rollen af 'Ghost'-konti
Ifølge sikkerhedsforsker Antonis Terefos distribuerer netværket af 'Ghost'-konti ikke kun malware, men engagerer sig også i aktiviteter, der får disse konti til at fremstå som legitime brugere. Denne taktik hjælper med at undgå mistanke og opretholde levetiden af deres ondsindede lagre.
Løbende drift og justeringer
Stargazers Ghost Network, som var aktivt siden august 2022, blev først annonceret som et DaaS i juli 2023. En bemærkelsesværdig kampagne involverede et ondsindet GitHub-link, der førte til et PHP-script på et WordPress-websted, som i sidste ende udførte Atlantida Stealer via et PowerShell-script. Andre malware-familier som Lumma Stealer, RedLine Stealer, Rhadamanthys og RisePro udbredes også gennem dette netværk.
Udvidelse af flere platforme
Netværket er ikke begrænset til GitHub alene; det driver lignende 'Ghost'-konti på platforme som Discord, Facebook, Instagram, X og YouTube. Denne multi-platform tilstedeværelse øger modstandsdygtigheden og rækkevidden af deres ondsindede operationer.
Seneste afpresningskampagner
I en relateret udvikling har ukendte trusselsaktører været rettet mod GitHub-depoter siden februar 2024. Disse angribere sletter lagerindholdet og kræver løsesum via Telegram under dække af en bruger ved navn Gitloker. Dette angreb bruger phishing-e-mails til at narre udviklere til at godkende en ondsindet OAuth-app, der sletter lagerdata.
Sikkerhedsrådgivning: CFOR-sårbarhed
Truffle Security har udsendt en meddelelse, der fremhæver potentialet for at få adgang til følsomme data fra slettede gafler og private arkiver på GitHub. Kendt som en CFOR-sårbarhed (Cross Fork Object Reference), opstår dette problem, når commits til ethvert lager i et fork-netværk forbliver tilgængeligt, selvom lageret slettes eller gøres privat.
Stargazer Goblins sofistikerede brug af GitHub til at distribuere malware viser trusselsaktørernes udviklende taktik til at udnytte legitime platforme. Efterhånden som disse operationer bliver mere indviklede, skal sikkerhedsforanstaltninger løbende tilpasses for at løse nye sårbarheder og beskytte mod sådanne ondsindede netværk.
