Hamis GitHub-fiókokon keresztül létrehozott Stargazers Ghost Network rosszindulatú programok terjesztésére

A Stargazer Goblin néven ismert, kifinomult fenyegetésekkel foglalkozó szereplő hamis GitHub-fiókok kiterjedt hálózatát építette ki, hogy megkönnyítse a „Distribution-as-a-Service” (DaaS) műveletet. Ez a rendszer hozzájárult a különféle információlopó rosszindulatú programok terjesztéséhez, és az elmúlt évben 100 000 dollár illegális nyereséget termelt.

A Stargazers Ghost Network

Ez a kiterjedt hálózat, amelyet a Check Point kutatói "Stargazers Ghost Network"-nek neveztek el, több mint 3000 GitHub-fiókból áll. Ezeket a fiókokat rosszindulatú hivatkozások és rosszindulatú programok terjesztésére használják több ezer adattár között. A hálózaton keresztül terjesztett rosszindulatú programcsaládok közé tartozik az Atlantida Stealer, a Rhadamanthys, a RisePro, a Lumma Stealer és a RedLine.

Szerkezet és stratégia

A Stargazers Ghost Network számos stratégiát alkalmaz, hogy fenntartsa működését és elkerülje az észlelést:

• Fiókok sokfélesége : A különböző fiókok meghatározott szerepköröket töltenek be, például adathalászati sablonok tárolását, képek szolgáltatását vagy feltört szoftvernek vagy játékcsalásnak álcázott rosszindulatú programok terjesztését.
• Rugalmassági taktikák : Amikor a GitHub észlel és letilt bizonyos fiókokat, a hálózat gyorsan alkalmazkodik azáltal, hogy új hivatkozásokkal frissíti a tárolókat, minimálisra csökkentve a működési zavarokat.
• Legitimitási mimikri : A fiókok olyan tevékenységeket végeznek, mint a főszereplés, az elágazás és a tárhelyek figyelése, hogy a legitimitás látszatát keltsék.

A „Ghost” fiókok szerepe

Antonis Terefos biztonsági kutató szerint a „Ghost” fiókok hálózata nemcsak rosszindulatú programokat terjeszt, hanem olyan tevékenységeket is folytat, amelyek révén ezek a fiókok legitim felhasználókként jelennek meg. Ez a taktika segít elkerülni a gyanút és fenntartani a rosszindulatú adattárak élettartamát.

Folyamatban lévő műveletek és módosítások

A 2022 augusztusa óta működő Stargazers Ghost Networket először 2023 júliusában hirdették meg DaaS-ként. Az egyik figyelemre méltó kampány egy rosszindulatú GitHub-linket tartalmazott, amely egy PHP-szkriptre vezetett egy WordPress-webhelyen, amely végül PowerShell-szkripten keresztül végrehajtotta az Atlantida Stealer-t. Más rosszindulatú programcsaládok, például a Lumma Stealer, a RedLine Stealer, a Rhadamanthys és a RisePro szintén ezen a hálózaton keresztül terjednek.

Többplatformos bővítés

A hálózat nem korlátozódik egyedül a GitHubra; hasonló „Ghost” fiókokat üzemeltet olyan platformokon, mint a Discord, Facebook, Instagram, X és YouTube. Ez a többplatformos jelenlét növeli a rosszindulatú műveletek rugalmasságát és hatókörét.

Legutóbbi zsarolási kampányok

Egy kapcsolódó fejlesztés során 2024 februárja óta ismeretlen fenyegetés szereplői célozzák a GitHub adattárait. Ezek a támadók egy Gitloker nevű felhasználó álcája alatt törlik az adattár tartalmát, és váltságdíjat követelnek a Telegramon keresztül. Ez a támadás adathalász e-maileket alkalmaz, hogy rávegye a fejlesztőket egy rosszindulatú OAuth-alkalmazás engedélyezésére, amely törli a tárhely adatait.

Biztonsági figyelmeztetés: CFOR sebezhetőség

A Truffle Security kiadott egy tanácsot, amely kiemeli a GitHubon törölt forkokból és privát adattárakból származó érzékeny adatok elérésének lehetőségét. A Cross Fork Object Reference (CFOR) sebezhetőségeként ismert probléma akkor jelentkezik, ha a fork hálózat bármely lerakatára vonatkozó commit továbbra is elérhető marad, még akkor is, ha a tárat törölték vagy priváttá teszik.

A Stargazer Goblin kifinomult GitHub-használata rosszindulatú programok terjesztésére bemutatja a fenyegetések szereplőinek fejlődő taktikáját a legitim platformok kihasználása terén. Ahogy ezek a műveletek egyre bonyolultabbá válnak, a biztonsági intézkedéseknek folyamatosan alkalmazkodniuk kell az új sebezhetőségek kiküszöbölése és az ilyen rosszindulatú hálózatok elleni védelem érdekében.