Stargazers Ghost Network Skapat via falska GitHub-konton för att sprida skadlig programvara
En sofistikerad hotaktör känd som Stargazer Goblin har byggt ett vidsträckt nätverk av falska GitHub-konton för att underlätta en Distribution-as-a-Service (DaaS) operation. Detta system har varit avgörande för att sprida olika skadlig programvara som stjäl information och genererat olaglig vinst på 100 000 USD under det senaste året.
Table of Contents
Stargazers Ghost Network
Detta omfattande nätverk, kallat "Stargazers Ghost Network" av Check Point-forskare, består av över 3 000 GitHub-konton. Dessa konton används för att distribuera skadliga länkar och skadlig programvara över tusentals arkiv. Skadliga programfamiljer som sprids via detta nätverk inkluderar Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer och RedLine.
Struktur och strategi
Stargazers Ghost Network använder flera strategier för att upprätthålla sin verksamhet och undvika upptäckt:
- Kontomångfald : Olika konton har till uppgift att ha specifika roller som att vara värd för nätfiskemallar, tillhandahålla bilder eller distribuera skadlig programvara förklädd som knäckt programvara eller spelfusk.
- Resilience Tactics : När GitHub upptäcker och förbjuder vissa konton, anpassar sig nätverket snabbt genom att uppdatera repositories med nya länkar, vilket minimerar driftsstörningar.
- Legitimitetsmimik : Kontona ägnar sig åt aktiviteter som huvudrollen, forking och tittar på arkiv för att skapa ett sken av legitimitet.
Rollen för spökkonton
Enligt säkerhetsforskaren Antonis Terefos distribuerar nätverket av "Ghost"-konton inte bara skadlig programvara utan deltar också i aktiviteter som får dessa konton att framstå som legitima användare. Denna taktik hjälper till att undvika misstankar och bibehålla livslängden på deras skadliga förråd.
Pågående drift och justeringar
Stargazers Ghost Network, som var aktivt sedan augusti 2022, annonserades först som ett DaaS i juli 2023. En anmärkningsvärd kampanj involverade en skadlig GitHub-länk som ledde till ett PHP-skript på en WordPress-webbplats, som till slut körde Atlantida Stealer via ett PowerShell-skript. Andra skadliga programfamiljer som Lumma Stealer, RedLine Stealer, Rhadamanthys och RisePro sprids också via detta nätverk.
Utbyggnad av flera plattformar
Nätverket är inte begränsat till GitHub enbart; det driver liknande "Ghost"-konton på plattformar som Discord, Facebook, Instagram, X och YouTube. Denna närvaro på flera plattformar ökar motståndskraften och räckvidden för deras skadliga operationer.
Senaste utpressningskampanjer
I en relaterad utveckling har okända hotaktörer riktat in sig på GitHub-förråd sedan februari 2024. Dessa angripare torkar förvarets innehåll och kräver lösen via Telegram under sken av en användare som heter Gitloker. Denna attack använder nätfiske-e-post för att lura utvecklare att auktorisera en skadlig OAuth-app som raderar data från förvar.
Säkerhetsrådgivning: CFOR-sårbarhet
Truffle Security har utfärdat ett råd som belyser potentialen för att komma åt känslig data från raderade gafflar och privata arkiv på GitHub. Känd som en CFOR-sårbarhet (Cross Fork Object Reference) uppstår det här problemet när commits till något arkiv i ett gaffelnätverk förblir tillgängligt, även om arkivet tas bort eller görs privat.
Stargazer Goblins sofistikerade användning av GitHub för att distribuera skadlig programvara visar upp den utvecklande taktiken hos hotaktörer när det gäller att utnyttja legitima plattformar. När dessa operationer blir mer komplicerade måste säkerhetsåtgärderna kontinuerligt anpassas för att åtgärda nya sårbarheter och skydda mot sådana skadliga nätverk.
