Mii de conturi GitHub sunt folosite pentru a răspândi programe malware

Posted on 30.07.24

O întreagă rețea de conturi GitHub rău intenționate este folosită pentru a răspândi hoții de informații.

Infractorii au creat mii de conturi pe GitHub pentru a forma o operațiune de distribuție a malware-ului ca serviciu și pentru a împinge furatorii de informații către dispozitivele dezvoltate, au avertizat experții.

Proiectul a fost descoperit recent de cercetătorii în securitate cibernetică Check Point, care a spus că toate conturile au roluri distincte, ceea ce face ca întregul proiect să fie destul de rezistent la eliminare.
Cercetătorii numesc proiectul Stargazers Ghost Network, construit aparent de un actor de amenințare cu alias Stargazer Goblin.

Proiect de succes

Acest hacker a înregistrat 3.000 de conturi GitHub și le-a folosit pentru a împinge „sute” de depozite rău intenționate. Conturile sunt împărțite în trei grupuri – unul care servește șablonul de phishing, altul care oferă imaginea de phishing și altul care servește malware-ul. În acest fel, întreaga rețea este mai rezistentă la eliminarea GitHub. În plus, toate conturile sunt folosite pentru a marca, furca și abona la depozite rău intenționate, sporindu-le legitimitatea în ochii lui Joe obișnuit.

„Al treilea cont, care servește malware-ul, este mai probabil să fie detectat. Când se întâmplă acest lucru, GitHub interzice întregul cont, depozitul și versiunile asociate”, a spus Check Point în raportul său. „Ca răspuns la astfel de acțiuni, Stargazer Goblin actualizează depozitul de phishing al primului cont cu un nou link către o nouă ediție activă rău intenționată. Acest lucru permite rețelei să continue să funcționeze cu pierderi minime atunci când un cont care deservește malware este interzis.”

Deoarece GitHub este o platformă importantă și de încredere, mulți oameni nu se așteaptă să fie serviți de programe malware în acest fel. Drept urmare, campania a avut un mare succes până acum, au concluzionat cercetătorii.

„Campaniile realizate de Stargazers Ghost Network și programele malware distribuite prin acest serviciu sunt extrem de reușite”, se arată în raport. „Într-o perioadă scurtă de timp, mii de victime au instalat software din ceea ce pare a fi un depozit legitim, fără a suspecta vreo intenție rău intenționată. Șabloanele de phishing foarte orientate către victime le permit actorilor amenințărilor să infecteze victimele cu profiluri și conturi online specifice, făcând astfel infecțiile. chiar mai valoros.”