Stargazers Ghost Network créé via de faux comptes GitHub pour propager des logiciels malveillants
Un acteur malveillant sophistiqué connu sous le nom de Stargazer Goblin a construit un vaste réseau de faux comptes GitHub pour faciliter une opération de distribution en tant que service (DaaS). Ce stratagème a joué un rôle déterminant dans la propagation de divers logiciels malveillants voleurs d'informations, générant des profits illicites s'élevant à 100 000 dollars au cours de l'année écoulée.
Table of Contents
Le réseau fantôme Stargazers
Ce vaste réseau, nommé « Stargazers Ghost Network » par les chercheurs de Check Point, comprend plus de 3 000 comptes GitHub. Ces comptes sont utilisés pour distribuer des liens malveillants et des logiciels malveillants sur des milliers de référentiels. Les familles de malwares diffusées via ce réseau incluent Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer et RedLine.
Structure et stratégie
Le réseau Stargazers Ghost utilise plusieurs stratégies pour maintenir ses opérations et échapper à la détection :
- Diversité des comptes : différents comptes sont chargés de rôles spécifiques tels que l'hébergement de modèles de phishing, la fourniture d'images ou la distribution de logiciels malveillants déguisés en logiciels piratés ou en astuces de jeu.
- Tactiques de résilience : lorsque GitHub détecte et bannit certains comptes, le réseau s'adapte rapidement en mettant à jour les référentiels avec de nouveaux liens, minimisant ainsi les perturbations opérationnelles.
- Mimétisme de légitimité : les comptes s'engagent dans des activités telles que la mise en vedette, le fork et la surveillance de référentiels pour créer un semblant de légitimité.
Le rôle des comptes « fantômes »
Selon le chercheur en sécurité Antonis Terefos, le réseau de comptes « fantômes » distribue non seulement des logiciels malveillants, mais se livre également à des activités qui font apparaître ces comptes comme des utilisateurs légitimes. Cette tactique permet d’éviter les soupçons et de maintenir la longévité de leurs référentiels malveillants.
Opérations et ajustements en cours
Actif depuis août 2022, le Stargazers Ghost Network a été annoncé pour la première fois comme DaaS en juillet 2023. Une campagne notable impliquait un lien GitHub malveillant menant à un script PHP sur un site WordPress, qui a finalement exécuté l'Atlantida Stealer via un script PowerShell. D'autres familles de logiciels malveillants comme Lumma Stealer, RedLine Stealer, Rhadamanthys et RisePro se propagent également via ce réseau.
Expansion multiplateforme
Le réseau ne se limite pas à GitHub ; il gère des comptes « Ghost » similaires sur des plateformes telles que Discord, Facebook, Instagram, X et YouTube. Cette présence multiplateforme améliore la résilience et la portée de leurs opérations malveillantes.
Campagnes d'extorsion récentes
Dans le même ordre d'idées, des acteurs malveillants inconnus ciblent les référentiels GitHub depuis février 2024. Ces attaquants effacent le contenu du référentiel et demandent une rançon via Telegram sous le couvert d'un utilisateur nommé Gitloker. Cette attaque utilise des e-mails de phishing pour inciter les développeurs à autoriser une application OAuth malveillante qui efface les données du référentiel.
Avis de sécurité : vulnérabilité du CFOR
Truffle Security a publié un avis soulignant la possibilité d'accéder à des données sensibles à partir de forks supprimés et de référentiels privés sur GitHub. Connu sous le nom de vulnérabilité Cross Fork Object Reference (CFOR), ce problème survient lorsque les validations dans n'importe quel référentiel d'un réseau fork restent accessibles, même si le référentiel est supprimé ou rendu privé.
L'utilisation sophistiquée de GitHub par Stargazer Goblin pour distribuer des logiciels malveillants illustre l'évolution des tactiques des acteurs malveillants dans l'exploitation des plateformes légitimes. À mesure que ces opérations deviennent plus complexes, les mesures de sécurité doivent continuellement s'adapter pour répondre aux nouvelles vulnérabilités et se protéger contre ces réseaux malveillants.
