Тысячи учетных записей GitHub используются для распространения вредоносного ПО

Posted on 30.07.24

Целая сеть вредоносных учетных записей GitHub используется для распространения похитителей информации.

Эксперты предупреждают, что преступники создали тысячи учетных записей на GitHub для распространения вредоносного ПО как услуги и распространения похитителей информации на устройствах разработчиков.

Недавно проект был обнаружен исследователями кибербезопасности Check Point, которые заявили, что все учетные записи имеют различные роли, что делает весь проект довольно устойчивым к блокировкам.
Исследователи называют проект Stargazers Ghost Network, по-видимому, созданный злоумышленником с псевдонимом Stargazer Goblin.

Успешный проект

Этот хакер зарегистрировал 3000 учетных записей GitHub и использовал их для распространения «сотней» вредоносных репозиториев. Аккаунты делятся на три группы: одна обслуживает шаблон фишинга, другая предоставляет изображение фишинга, а третья обслуживает вредоносное ПО. Таким образом, вся сеть становится более устойчивой к удалениям GitHub. Кроме того, все аккаунты используются для звезд, форков и подписки на вредоносные репозитории, что повышает их легитимность в глазах среднестатистического Джо.

«Третья учетная запись, обслуживающая вредоносное ПО, с большей вероятностью будет обнаружена. Когда это происходит, GitHub блокирует всю учетную запись, репозиторий и связанные с ними релизы», — говорится в отчете Check Point. «В ответ на такие действия Stargazer Goblin обновляет фишинговый репозиторий первой учетной записи новой ссылкой на новый активный вредоносный релиз. Это позволяет сети продолжать работу с минимальными потерями, когда учетная запись, обслуживающая вредоносное ПО, блокируется».

Поскольку GitHub является крупной, надежной платформой, многие люди не ожидают, что им будут доставлять вредоносное ПО таким образом. В результате, исследователи пришли к выводу, что кампания пока что очень успешна.

«Кампании, проводимые Stargazers Ghost Network, и вредоносное ПО, распространяемое через этот сервис, чрезвычайно успешны», — говорится в отчете. «За короткий период времени тысячи жертв установили программное обеспечение из, по-видимому, легитимного репозитория, не подозревая о каком-либо злонамеренном намерении. Шаблоны фишинга, ориентированные на жертву, позволяют злоумышленникам заражать жертв с помощью определенных профилей и онлайн-аккаунтов, что делает заражения еще более ценными».