Stargazers 幽灵网络通过虚假 GitHub 账户传播恶意软件
一个名为 Stargazer Goblin 的黑客组织建立了一个庞大的 GitHub 假账户网络,以促进分发即服务 (DaaS) 运营。该计划在传播各种信息窃取恶意软件方面发挥了重要作用,在过去一年中非法获利达 10 万美元。
Table of Contents
观星者幽灵网络
这个庞大的网络被 Check Point 研究人员称为“Stargazers Ghost Network”,由 3,000 多个 GitHub 帐户组成。这些帐户用于在数千个存储库中分发恶意链接和恶意软件。通过该网络传播的恶意软件家族包括 Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer 和 RedLine。
结构与战略
Stargazers 幽灵网络采用了多种策略来维持其运营并逃避侦查:
- 账户多样性:不同的账户承担着特定的角色,例如托管网络钓鱼模板、提供图像或分发伪装成破解软件或游戏作弊软件的恶意软件。
- 弹性策略:当 GitHub 检测并禁止某些帐户时,网络会通过使用新链接更新存储库来快速适应,从而最大限度地减少运营中断。
- 合法性模仿:账户参与诸如加星标、分叉和关注存储库等活动,以创造合法性的假象。
“幽灵”账户的作用
据安全研究员 Antonis Terefos 称,“幽灵”账户网络不仅传播恶意软件,还从事使这些账户看起来像合法用户的活动。这种策略有助于避免怀疑并维持其恶意存储库的长期存在。
正在进行的运营和调整
Stargazers Ghost Network 自 2022 年 8 月起活跃,并于 2023 年 7 月首次被宣传为 DaaS。一项值得注意的活动涉及一个恶意 GitHub 链接,该链接指向 WordPress 网站上的 PHP 脚本,最终通过 PowerShell 脚本执行了 Atlantida Stealer。其他恶意软件家族(如 Lumma Stealer、RedLine Stealer、Rhadamanthys 和 RisePro)也通过该网络传播。
多平台扩展
该网络并不局限于 GitHub;它在 Discord、Facebook、Instagram、X 和 YouTube 等平台上运营类似的“幽灵”账户。这种多平台存在增强了其恶意操作的弹性和影响力。
近期勒索活动
在相关发展中,未知威胁行为者自 2024 年 2 月以来一直以 GitHub 存储库为目标。这些攻击者以名为 Gitloker 的用户身份通过 Telegram 擦除存储库内容并索要赎金。此攻击使用网络钓鱼电子邮件诱骗开发人员授权可擦除存储库数据的恶意 OAuth 应用程序。
安全公告:CFOR 漏洞
Truffle Security 发布了一份公告,强调了访问 GitHub 上已删除的分支和私有存储库中的敏感数据的可能性。此问题被称为跨分支对象引用 (CFOR) 漏洞,当分支网络中任何存储库的提交仍可访问时,就会出现此问题,即使存储库已被删除或设为私有。
Stargazer Goblin 巧妙地利用 GitHub 分发恶意软件,展示了威胁行为者利用合法平台的策略不断演变。随着这些操作变得越来越复杂,安全措施必须不断调整以解决新的漏洞并防范此类恶意网络。
