Hackers γνωστοί ως «Stargazer Goblin» δημιούργησαν ένα malware Distribution-as-a-Service (DaaS) από πάνω από 3.000 ψεύτικους λογαριασμούς στο GitHub, για τη διανομή κακόβουλου λογισμικού infostealer.

Δείτε επίσης: Προσοχή: Το Open-Source Neptune Stealer παραδίδεται μέσω GitHub

Η υπηρεσία παράδοσης malware ονομάζεται Stargazers Ghost Network και χρησιμοποιεί αποθετήρια GitHub μαζί με παραβιασμένους ιστότοπους WordPress για τη διανομή αρχείων προστατευμένων με κωδικό πρόσβασης που περιέχουν κακόβουλο λογισμικό. Στις περισσότερες περιπτώσεις, το κακόβουλο λογισμικό είναι infostealer, όπως το RedLine, το Lumma Stealer, το Rhadamanthys, το RisePro και το Atlantida Stealer.

Λόγω του ότι το GitHub είναι μια πολύ γνωστή, αξιόπιστη υπηρεσία, οι άνθρωποι το αντιμετωπίζουν με λιγότερη καχυποψία και μπορεί να είναι πιο πιθανό να κάνουν κλικ σε συνδέσμους που βρίσκουν στα αποθετήρια της υπηρεσίας.

Η Check Point Research ανακάλυψε την καμπάνια, και λέει ότι είναι η πρώτη φορά που ένα τέτοιο οργανωμένο και μεγάλης κλίμακας σχήμα τεκμηριώνεται ότι εκτελείται στο GitHub.

«Οι καμπάνιες που εκτελούνται από το Stargazers Ghost Network και το κακόβουλο λογισμικό που διανέμεται μέσω αυτής της υπηρεσίας είναι εξαιρετικά επιτυχημένες», εξηγεί η έκθεση της Check Point Research.

Τα «φαντάσματα» του GitHub διαδίδουν malware

Ο δημιουργός της λειτουργίας DaaS, Stargazer Goblin, προωθεί ενεργά την υπηρεσία διανομής κακόβουλου λογισμικού στο Dark Web από τον Ιούνιο του 2023. Ωστόσο, η Check Point λέει ότι υπάρχουν ενδείξεις ότι ήταν ενεργό από τον Αύγουστο του 2022.

Δείτε ακόμα: Ο προγραμματιστής του node-ip κάνει το αποθετήριο GitHub του read-only

Η Stargazer Goblin δημιούργησε ένα σύστημα που δημιουργεί εκατοντάδες αποθετήρια GitHub χρησιμοποιώντας τρεις χιλιάδες ψεύτικους λογαριασμούς «φαντάσματα» για τη διανομή malware. Αυτοί οι λογαριασμοί, διαχωρίζονται και εγγράφονται σε κακόβουλα αποθετήρια για να αυξήσουν τη φαινομενική τους νομιμότητα και να κάνουν πιο πιθανό να εμφανίζονται στην ενότητα των τάσεων του GitHub.

Τα αποθετήρια χρησιμοποιούν ονόματα έργων και ετικέτες που στοχεύουν συγκεκριμένα ενδιαφέροντα όπως κρυπτονομίσματα, παιχνίδια και μέσα κοινωνικής δικτύωσης. Στους λογαριασμούς «φαντάσματα» εκχωρούνται διακριτοί ρόλοι. Μια ομάδα εξυπηρετεί το πρότυπο phishing, μια άλλη παρέχει την εικόνα ηλεκτρονικού ψαρέματος και μια τρίτη εξυπηρετεί το κακόβουλο λογισμικό, το οποίο δίνει στο σχήμα ένα ορισμένο επίπεδο λειτουργικής ανθεκτικότητας.

Η Check Point παρατήρησε μια περίπτωση βίντεο YouTube με ένα εκπαιδευτικό πρόγραμμα λογισμικού που συνδέεται με τον ίδιο δημιουργό όπως σε ένα από τα αποθετήρια GitHub του «Stargazers Ghost Network

».

Οι ερευνητές σημειώνουν ότι θα μπορούσε να είναι ένα από τα δυνητικά πολλαπλά παραδείγματα καναλιών που χρησιμοποιούνται για τη διοχέτευση της επισκεψιμότητας σε αποθετήρια phishing ή ιστότοπους διανομής malware. Όσον αφορά το μέγεθος της επιχείρησης και τη δημιουργία κερδών της, η Check Point εκτιμά ότι η ομάδα έχει κερδίσει πάνω από 100.000 $ από την κυκλοφορία της υπηρεσίας.

Αν και το GitHub έχει λάβει μέτρα εναντίον πολλών από τα κακόβουλα και ουσιαστικά ψεύτικα αποθετήρια, αφαιρώντας πάνω από 1.500 από τον Μάιο του 2024, η Check Point λέει ότι πάνω από 200 είναι ενεργά αυτήν τη στιγμή και συνεχίζουν τη διανομή malware.

Συνιστάται στους χρήστες που φτάνουν σε αποθετήρια GitHub μέσω κακόβουλης διαφήμισης, αποτελεσμάτων Αναζήτησης Google, βίντεο YouTube, Telegram ή μέσων κοινωνικής δικτύωσης να είναι πολύ προσεκτικοί με τις λήψεις αρχείων και τις διευθύνσεις URL στις οποίες κάνουν κλικ.

Δείτε επίσης: Σφάλμα του JetBrains IntelliJ IDE αποκαλύπτει GitHub access tokens

Το Malware Distribution-as-a-Service (MDaaS) είναι μια αναδυόμενη τάση στο τοπίο του εγκλήματος στον κυβερνοχώρο, που επιτρέπει την ανάπτυξη και διανομή malware, χωρίς να χρειάζονται εκτεταμένες τεχνικές γνώσεις, όπως στην περίπτωση του GitHub. Αυτή η υπηρεσία επιτρέπει στους εγκληματίες να αγοράζουν κακόβουλο λογισμικό από υπόγειες αγορές, παρέχοντάς τους έτοιμα εργαλεία για τη διεξαγωγή κυβερνοεπιθέσεων. Οι πλατφόρμες MDaaS συχνά περιλαμβάνουν φιλικές προς το χρήστη διεπαφές και υπηρεσίες υποστήριξης, καθιστώντας το προσβάσιμο ακόμη και για αρχάριους χρήστες. Οι επιπτώσεις αυτής της υπηρεσίας είναι σημαντικές, καθώς μειώνει το εμπόδιο εισόδου για τους κυβερνοεγκληματίες, οδηγώντας σε αύξηση της συχνότητας και της ποικιλομορφίας των κυβερνοεπιθέσεων.

Πηγή: bleepingcomputer