Сеть Stargazers Ghost Network создана с помощью поддельных учетных записей GitHub для распространения вредоносного ПО
Искушенный злоумышленник, известный как Stargazer Goblin, создал обширную сеть фейковых учетных записей GitHub для облегчения операции «Распространение как услуга» (DaaS). Эта схема сыграла важную роль в распространении различных вредоносных программ для кражи информации и принесла за последний год незаконную прибыль в размере 100 000 долларов США.
Table of Contents
Сеть призраков звездочетов
Эта обширная сеть, названная исследователями Check Point «Сетью Stargazers Ghost Network», состоит из более чем 3000 учетных записей GitHub. Эти учетные записи используются для распространения вредоносных ссылок и вредоносного ПО по тысячам репозиториев. Семейства вредоносного ПО, распространяемые через эту сеть, включают Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer и RedLine.
Структура и стратегия
Сеть «Звездочеты-призраки» использует несколько стратегий для поддержания своей деятельности и уклонения от обнаружения:
- Разнообразие учетных записей . Разным учетным записям поручены определенные функции, такие как размещение фишинговых шаблонов, предоставление изображений или распространение вредоносного ПО, замаскированного под взломанное программное обеспечение или игровые читы.
- Тактика устойчивости : когда GitHub обнаруживает и блокирует определенные учетные записи, сеть быстро адаптируется, обновляя репозитории новыми ссылками, сводя к минимуму сбои в работе.
- Мимикрия легитимности : учетные записи участвуют в таких действиях, как выделение звезд, разветвление и просмотр репозиториев, чтобы создать видимость легитимности.
Роль «призрачных» учетных записей
По словам исследователя безопасности Антониса Терефоса, сеть «призрачных» учетных записей не только распространяет вредоносное ПО, но и участвует в действиях, которые выставляют эти учетные записи за законных пользователей. Эта тактика помогает избежать подозрений и сохранить долговечность вредоносных хранилищ.
Текущие операции и корректировки
Активная с августа 2022 года сеть Stargazers Ghost Network была впервые рекламирована как DaaS в июле 2023 года. Одна из примечательных кампаний включала в себя вредоносную ссылку GitHub, ведущую на PHP-скрипт на сайте WordPress, который в конечном итоге запускал Atlantida Stealer через скрипт PowerShell. Через эту сеть также распространяются другие семейства вредоносных программ, такие как Lumma Stealer, RedLine Stealer, Rhadamanthys и RisePro.
Мультиплатформенное расширение
Сеть не ограничивается только GitHub; он управляет аналогичными учетными записями «Призраков» на таких платформах, как Discord, Facebook, Instagram, X и YouTube. Такое мультиплатформенное присутствие повышает устойчивость и охват вредоносных операций.
Недавние кампании по вымогательству
В рамках аналогичной разработки неизвестные злоумышленники атакуют репозитории GitHub с февраля 2024 года. Эти злоумышленники стирают содержимое репозитория и требуют выкуп через Telegram под видом пользователя по имени Gitloker. В этой атаке используются фишинговые электронные письма, чтобы обманом заставить разработчиков авторизовать вредоносное приложение OAuth, которое стирает данные хранилища.
Рекомендации по безопасности: уязвимость CFOR
Truffle Security выпустила рекомендацию, подчеркивающую возможность доступа к конфиденциальным данным из удаленных форков и частных репозиториев на GitHub. Эта проблема, известная как уязвимость Cross Fork Object Reference (CFOR), возникает, когда коммиты в любом репозитории в сети ответвления остаются доступными, даже если репозиторий удален или сделан частным.
Хитрое использование Stargazer Goblin GitHub для распространения вредоносного ПО демонстрирует развивающуюся тактику злоумышленников при использовании законных платформ. Поскольку эти операции становятся все более сложными, меры безопасности должны постоянно адаптироваться для устранения новых уязвимостей и защиты от таких вредоносных сетей.
