Stargazers Ghost Network opprettet via falske GitHub-kontoer for å spre skadelig programvare

En sofistikert trusselaktør kjent som Stargazer Goblin har bygget et omfattende nettverk av falske GitHub-kontoer for å lette en distribusjon-som-en-tjeneste (DaaS) operasjon. Denne ordningen har vært medvirkende til å spre ulike skadevare som stjeler informasjon, og generert ulovlig fortjeneste på $100 000 det siste året.

Stargazers Ghost Network

Dette omfattende nettverket, kalt "Stargazers Ghost Network" av Check Point-forskere, består av over 3000 GitHub-kontoer. Disse kontoene brukes til å distribuere ondsinnede lenker og skadelig programvare på tvers av tusenvis av depoter. Skadevarefamiliene som spres via dette nettverket inkluderer Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer og RedLine.

Struktur og strategi

Stargazers Ghost Network bruker flere strategier for å opprettholde driften og unngå oppdagelse:

• Kontomangfold : Ulike kontoer har spesifikke roller som å være vert for phishing-maler, levere bilder eller distribuere skadelig programvare forkledd som cracked programvare eller spilljuksekoder.
• Resilience Tactics : Når GitHub oppdager og forbyr visse kontoer, tilpasser nettverket seg raskt ved å oppdatere repositories med nye lenker, og minimerer driftsavbrudd.
• Legitimitetsmimikk : Kontoene engasjerer seg i aktiviteter som hovedrollen, forking og se på arkiver for å skape et utseende av legitimitet.

Rollen til “Ghost”-kontoer

Ifølge sikkerhetsforsker Antonis Terefos distribuerer nettverket av 'Ghost'-kontoer ikke bare skadelig programvare, men engasjerer seg også i aktiviteter som får disse kontoene til å fremstå som legitime brukere. Denne taktikken hjelper til med å unngå mistanke og opprettholde levetiden til deres ondsinnede depoter.

Løpende drift og justeringer

Stargazers Ghost Network, som var aktivt siden august 2022, ble først annonsert som en DaaS i juli 2023. En bemerkelsesverdig kampanje involverte en ondsinnet GitHub-kobling som førte til et PHP-skript på et WordPress-nettsted, som til slutt utførte Atlantida Stealer via et PowerShell-skript. Andre malware-familier som Lumma Stealer, RedLine Stealer, Rhadamanthys og RisePro spres også gjennom dette nettverket.

Utvidelse av flere plattformer

Nettverket er ikke begrenset til GitHub alene; den driver lignende 'Ghost'-kontoer på plattformer som Discord, Facebook, Instagram, X og YouTube. Denne tilstedeværelsen på flere plattformer øker motstandskraften og rekkevidden til deres ondsinnede operasjoner.

Nylige utpressingskampanjer

I en relatert utvikling har ukjente trusselaktører rettet mot GitHub-depoter siden februar 2024. Disse angriperne tørker innholdet i depotene og krever løsepenger via Telegram under dekke av en bruker som heter Gitloker. Dette angrepet bruker phishing-e-poster for å lure utviklere til å autorisere en ondsinnet OAuth-app som sletter depotdata.

Sikkerhetsrådgivning: CFOR-sårbarhet

Truffle Security har gitt ut et råd som fremhever potensialet for å få tilgang til sensitive data fra slettede gafler og private depoter på GitHub. Dette problemet er kjent som et Cross Fork Object Reference (CFOR)-sårbarhet, og oppstår når commits til et hvilket som helst depot i et fork-nettverk forblir tilgjengelig, selv om depotet er slettet eller gjort privat.

Stargazer Goblins sofistikerte bruk av GitHub for distribusjon av skadelig programvare viser frem den utviklende taktikken til trusselaktører i å utnytte legitime plattformer. Etter hvert som disse operasjonene blir mer intrikate, må sikkerhetstiltakene kontinuerlig tilpasses for å adressere nye sårbarheter og beskytte mot slike ondsinnede nettverk.