透過虛假 GitHub 帳戶建立的 Stargazers Ghost 網路用於傳播惡意軟體
一個名為 Stargazer Goblin 的老練威脅者建構了一個由虛假 GitHub 帳戶組成的龐大網絡,以促進分發即服務 (DaaS) 操作。該計劃在傳播各種竊取資訊的惡意軟體方面發揮了重要作用,在過去一年中產生了高達 10 萬美元的非法利潤。
Table of Contents
觀星者幽靈網絡
這個廣泛的網路被 Check Point 研究人員命名為“Stargazers Ghost Network”,由 3000 多個 GitHub 帳戶組成。這些帳戶用於在數千個儲存庫中分發惡意連結和惡意軟體。透過此網路傳播的惡意軟體系列包括 Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer 和 RedLine。
結構與策略
Stargazers Ghost Network 採用多種策略來維持其運作並逃避偵測:
- 帳戶多樣性:不同的帳戶承擔特定的角色,例如託管網路釣魚模板、提供圖像或分發偽裝成破解軟體或遊戲作弊的惡意軟體。
- 彈性策略:當 GitHub 偵測到並禁止某些帳戶時,網路會透過使用新連結更新儲存庫來快速適應,從而最大限度地減少營運中斷。
- 合法性模仿:這些帳戶從事諸如明星、分叉和監視儲存庫之類的活動,以創造合法性的假象。
「幽靈」帳號的作用
安全研究人員安東尼斯·特雷福斯 (Antonis Terefos) 表示,「幽靈」帳戶網路不僅傳播惡意軟體,還從事使這些帳戶看似合法用戶的活動。這種策略有助於避免懷疑並保持惡意儲存庫的壽命。
持續營運及調整
Stargazers Ghost Network 自2022 年8 月開始活躍,並於2023 年7 月首次作為DaaS 進行廣告宣傳。一個值得注意的活動涉及指向WordPress 網站上PHP 腳本的惡意GitHub 鏈接,該鏈接最終通過PowerShell 腳本執行了Atlantida Stealer。 Lumma Stealer、RedLine Stealer、Rhadamanthys 和 RisePro 等其他惡意軟體系列也透過該網路傳播。
多平台擴展
網路不僅限於 GitHub;它在 Discord、Facebook、Instagram、X 和 YouTube 等平台上經營類似的「幽靈」帳戶。這種多平台的存在增強了惡意操作的彈性和影響範圍。
最近的勒索活動
在相關的開發中,自2024 年2 月以來,未知的威脅參與者一直以GitHub 儲存庫為目標。 。此攻擊利用網路釣魚電子郵件來誘騙開發人員授權刪除儲存庫資料的惡意 OAuth 應用程式。
安全預警:CFOR 漏洞
Truffle Security 發布了一份公告,強調了從已刪除的分叉和 GitHub 上的私人儲存庫存取敏感資料的可能性。此問題稱為跨分叉物件參考 (CFOR) 漏洞,當對分叉網路中的任何儲存庫的提交仍然可存取時,即使儲存庫已刪除或設為私有,也會出現此問題。
Stargazer Goblin 複雜地使用 GitHub 來分發惡意軟體,展示了威脅行為者利用合法平台不斷演變的策略。隨著這些操作變得更加複雜,安全措施必須不斷適應以解決新的漏洞並防範此類惡意網路。
