Stargazers Ghost Network creada a través de cuentas falsas de GitHub para difundir malware

Un sofisticado actor de amenazas conocido como Stargazer Goblin ha creado una extensa red de cuentas falsas de GitHub para facilitar una operación de distribución como servicio (DaaS). Este esquema ha sido decisivo en la difusión de diversos programas maliciosos para robar información, generando ganancias ilícitas por valor de 100.000 dólares durante el año pasado.

La red fantasma de los observadores de estrellas

Esta extensa red, denominada "Stargazers Ghost Network" por los investigadores de Check Point, consta de más de 3000 cuentas de GitHub. Estas cuentas se utilizan para distribuir enlaces maliciosos y malware en miles de repositorios. Las familias de malware difundidas a través de esta red incluyen Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine.

Estructura y estrategia

Stargazers Ghost Network emplea varias estrategias para mantener sus operaciones y evadir la detección:

• Diversidad de cuentas : diferentes cuentas tienen tareas específicas, como alojar plantillas de phishing, proporcionar imágenes o distribuir malware disfrazado de software descifrado o trampas de juegos.
• Tácticas de resiliencia : cuando GitHub detecta y prohíbe ciertas cuentas, la red se adapta rápidamente actualizando los repositorios con nuevos enlaces, minimizando la interrupción operativa.
• Mimetismo de legitimidad : las cuentas participan en actividades como protagonizar, bifurcar y observar repositorios para crear una apariencia de legitimidad.

El papel de las cuentas 'fantasmas'

Según el investigador de seguridad Antonis Terefos, la red de cuentas 'Ghost' no sólo distribuye malware sino que también realiza actividades que hacen que estas cuentas parezcan usuarios legítimos. Esta táctica ayuda a evitar sospechas y mantener la longevidad de sus repositorios maliciosos.

Operaciones y ajustes en curso

Activa desde agosto de 2022, Stargazers Ghost Network se anunció por primera vez como DaaS en julio de 2023. Una campaña notable involucró un enlace malicioso de GitHub que conducía a un script PHP en un sitio de WordPress, que finalmente ejecutó Atlantida Stealer a través de un script de PowerShell. Otras familias de malware como Lumma Stealer, RedLine Stealer, Rhadamanthys y RisePro también se propagan a través de esta red.

Expansión multiplataforma

La red no se limita únicamente a GitHub; opera cuentas 'Ghost' similares en plataformas como Discord, Facebook, Instagram, X y YouTube. Esta presencia multiplataforma mejora la resiliencia y el alcance de sus operaciones maliciosas.

Campañas de extorsión recientes

En un desarrollo relacionado, actores de amenazas desconocidos han estado atacando los repositorios de GitHub desde febrero de 2024. Estos atacantes borran el contenido del repositorio y exigen un rescate a través de Telegram bajo la apariencia de un usuario llamado Gitloker. Este ataque emplea correos electrónicos de phishing para engañar a los desarrolladores para que autoricen una aplicación OAuth maliciosa que borra los datos del repositorio.

Aviso de seguridad: Vulnerabilidad del CFOR

Truffle Security ha emitido un aviso que destaca el potencial de acceder a datos confidenciales desde bifurcaciones eliminadas y repositorios privados en GitHub. Este problema, conocido como vulnerabilidad de referencia de objetos entre bifurcaciones (CFOR), surge cuando las confirmaciones de cualquier repositorio en una red bifurcada permanecen accesibles, incluso si el repositorio se elimina o se vuelve privado.

El uso sofisticado de GitHub por parte de Stargazer Goblin para distribuir malware muestra la evolución de las tácticas de los actores de amenazas al explotar plataformas legítimas. A medida que estas operaciones se vuelven más complejas, las medidas de seguridad deben adaptarse continuamente para abordar nuevas vulnerabilidades y proteger contra este tipo de redes maliciosas.