Stargazers Ghost Network creata tramite account GitHub falsi per diffondere malware

Un sofisticato attore di minacce noto come Stargazer Goblin ha costruito una vasta rete di falsi account GitHub per facilitare un'operazione di distribuzione come servizio (DaaS). Questo schema è stato determinante nella diffusione di vari malware per il furto di informazioni, generando profitti illeciti pari a 100.000 dollari nell'ultimo anno.

La rete fantasma degli astronomi

Questa vasta rete, denominata "Stargazers Ghost Network" dai ricercatori di Check Point, è composta da oltre 3.000 account GitHub. Questi account vengono utilizzati per distribuire collegamenti dannosi e malware su migliaia di repository. Le famiglie di malware diffuse tramite questa rete includono Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine.

Struttura e strategia

La Stargazers Ghost Network utilizza diverse strategie per mantenere le sue operazioni ed eludere il rilevamento:

• Diversità degli account : account diversi hanno compiti specifici come ospitare modelli di phishing, fornire immagini o distribuire malware camuffato da software crackato o trucchi di giochi.
• Tattiche di resilienza : quando GitHub rileva e vieta determinati account, la rete si adatta rapidamente aggiornando i repository con nuovi collegamenti, riducendo al minimo le interruzioni operative.
• Mimetismo della legittimità : gli account si impegnano in attività come starring, fork e guardare repository per creare una parvenza di legittimità.

Il ruolo dei conti “fantasma”.

Secondo il ricercatore di sicurezza Antonis Terefos, la rete di account "Ghost" non solo distribuisce malware ma si impegna anche in attività che fanno apparire questi account come utenti legittimi. Questa tattica aiuta a evitare sospetti e a mantenere la longevità dei loro repository dannosi.

Operazioni e aggiustamenti in corso

Attivo dall'agosto 2022, lo Stargazers Ghost Network è stato pubblicizzato per la prima volta come DaaS nel luglio 2023. Una campagna degna di nota ha coinvolto un collegamento GitHub dannoso che portava a uno script PHP su un sito WordPress, che alla fine ha eseguito Atlantida Stealer tramite uno script PowerShell. Attraverso questa rete vengono propagate anche altre famiglie di malware come Lumma Stealer, RedLine Stealer, Rhadamanthys e RisePro.

Espansione multipiattaforma

La rete non è limitata al solo GitHub; gestisce account "Ghost" simili su piattaforme come Discord, Facebook, Instagram, X e YouTube. Questa presenza multipiattaforma migliora la resilienza e la portata delle loro operazioni dannose.

Recenti campagne di estorsione

In uno sviluppo correlato, autori di minacce sconosciuti hanno preso di mira i repository GitHub dal febbraio 2024. Questi aggressori cancellano i contenuti dei repository e chiedono un riscatto tramite Telegram sotto le spoglie di un utente di nome Gitloker. Questo attacco utilizza e-mail di phishing per indurre gli sviluppatori ad autorizzare un'app OAuth dannosa che cancella i dati del repository.

Avviso di sicurezza: vulnerabilità CFOR

Truffle Security ha emesso un avviso evidenziando il potenziale di accesso ai dati sensibili da fork eliminati e repository privati su GitHub. Conosciuto come vulnerabilità Cross Fork Object Reference (CFOR), questo problema si verifica quando i commit su qualsiasi repository in una rete fork rimangono accessibili, anche se il repository viene eliminato o reso privato.

L'uso sofisticato di GitHub da parte di Stargazer Goblin per la distribuzione di malware mostra le tattiche in evoluzione degli autori delle minacce nello sfruttamento di piattaforme legittime. Man mano che queste operazioni diventano più complesse, le misure di sicurezza devono adattarsi continuamente per affrontare nuove vulnerabilità e proteggersi da tali reti dannose.