Η κακόβουλη συμμορία Stargazer Goblin, έχει δημιουργήσει ένα δίκτυο ψεύτικων λογαριασμών στο GitHub για να δημιουργήσει ένα Distribution-as-a-Service (DaaS) που διανέμει κακόβουλο λογισμικό, το οποίο κλέβει πληροφορίες και είχε ως αποτέλεσμα 100.000 $ σε παράνομα κέρδη το περασμένο έτος.
Το δίκτυο, το οποίο περιλαμβάνει πάνω από 3.000 λογαριασμούς στην πλατφόρμα φιλοξενίας κώδικα που βασίζεται σε σύννεφο, εκτείνεται σε χιλιάδες αποθετήρια που χρησιμοποιούνται για την κοινή χρήση κακόβουλων συνδέσμων και λογισμικού. Αυτό το δίκτυο έχει χαρακτηριστεί από την Check Point ως “Stargazers Ghost Network”.
Διαβάστε επίσης: Πάνω από 3.000 λογαριασμοί GitHub χρησιμοποιούνται για διανομή malware
Μερικές από τις οικογένειες κακόβουλου λογισμικού που διαδίδονται χρησιμοποιώντας αυτή τη μέθοδο περιλαμβάνουν τα Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer και RedLine, με τους ψεύτικους λογαριασμούς να συμμετέχουν επίσης σε πρωταγωνιστή, διακλάδωση, παρακολούθηση και εγγραφή σε κακόβουλα αποθετήρια για να τους δώσουν μια όψη νομιμότητας.
Το δίκτυο πιστεύεται ότι ήταν ενεργό από τον Αύγουστο του 2022 σε κάποια προκαταρκτική μορφή, αν και μια διαφήμιση για το DaaS δεν είχε εντοπιστεί στο σκοτάδι μέχρι τις αρχές Ιουλίου 2023.
«Οι χάκερς έχουν δημιουργήσει ένα δίκτυο λογαριασμών “Ghost”, το οποίο διανέμει κακόβουλο λογισμικό μέσω επικίνδυνων συνδέσμων στα αποθετήρια τους και κρυπτογραφημένα αρχεία ως εκδόσεις», εξήγησε ο ερευνητής ασφαλείας Αντώνης Τερεφός σε ανάλυση που δημοσιεύθηκε την περασμένη εβδομάδα.
“Αυτό το δίκτυο όχι μόνο διανέμει κακόβουλο λογισμικό, αλλά παρέχει επίσης διάφορες άλλες δραστηριότητες που κάνουν αυτούς τους λογαριασμούς “Ghost” να εμφανίζονται ως κανονικοί χρήστες, προσδίδοντας ψεύτικη νομιμότητα στις ενέργειές τους και στα σχετικά αποθετήρια.”
Διαφορετικές κατηγορίες λογαριασμών GitHub είναι υπεύθυνες για διαφορετικές πτυχές του συστήματος σε μια προσπάθεια να καταστήσουν την υποδομή τους πιο ανθεκτική στις προσπάθειες κατάργησης από το GitHub όταν επισημαίνονται κακόβουλα ωφέλιμα φορτία στην πλατφόρμα.
Σε αυτά περιλαμβάνονται λογαριασμοί που εξυπηρετούν το πρότυπο αποθετηρίου phishing, λογαριασμοί που παρέχουν την εικόνα για το πρότυπο phishing και λογαριασμοί που προωθούν κακόβουλο λογισμικό στα αποθετήρια με τη μορφή αρχείου προστατευμένου με κωδικό πρόσβασης που μεταμφιέζεται ως σπασμένο λογισμικό και απατεώνες παιχνιδιών.
Εάν το τρίτο σύνολο λογαριασμών εντοπιστεί και αποκλειστεί από το GitHub, το Stargazer Goblin προχωρά στην ενημέρωση του αποθετηρίου phishing του πρώτου λογαριασμού με έναν νέο σύνδεσμο προς μια νέα ενεργή κακόβουλη έκδοση, επιτρέποντας έτσι στους χειριστές να προχωρήσουν με ελάχιστη διακοπή.
Εκτός από την επιθυμία νέων εκδόσεων από πολλαπλά αποθετήρια και τη δέσμευση αλλαγών στα αρχεία README.md για την τροποποίηση των συνδέσμων λήψης, υπάρχουν στοιχεία που υποδηλώνουν ότι ορισμένοι λογαριασμοί μέρος του δικτύου έχουν προηγουμένως παραβιαστεί, με τα διαπιστευτήρια πιθανότατα αποκτήθηκαν μέσω κακόβουλου λογισμικού κλοπής.
«Τις περισσότερες φορές, παρατηρούμε ότι οι λογαριασμοί Repository και Stargazer παραμένουν ανεπηρέαστοι από απαγορεύσεις και καταργήσεις αποθετηρίου, ενώ οι λογαριασμοί Commit και Release συνήθως απαγορεύονται μόλις εντοπιστούν τα κακόβουλα αποθετήρια τους», είπε ο Terefos.
“Είναι σύνηθες να βρίσκουμε αποθετήρια συνδέσμων που περιέχουν συνδέσμους προς απαγορευμένα αποθετήρια έκδοσης. Όταν συμβαίνει αυτό, ο λογαριασμός Commit που σχετίζεται με το Αποθετήριο συνδέσμων ενημερώνει τον κακόβουλο σύνδεσμο με έναν νέο.”
Μία από τις καμπάνιες που ανακαλύφθηκαν από το Check Point περιλαμβάνει τη χρήση ενός κακόβουλου συνδέσμου σε ένα αποθετήριο GitHub που, με τη σειρά του, οδηγεί σε ένα σενάριο PHP που φιλοξενείται σε έναν ιστότοπο WordPress και παραδίδει ένα αρχείο εφαρμογής HTML (HTA) για να εκτελέσει τελικά το Atlantida Stealer με μέσα ενός σεναρίου PowerShell.
Δείτε περισσότερα: Grand Theft Auto VI – Fake beta έκδοση διαδίδει κακόβουλο λογισμικό
Άλλες οικογένειες κακόβουλου λογισμικού που διαδίδονται μέσω του DaaS είναι οι Lumma Stealer, RedLine Stealer, Rhadamanthys και RisePro. Το Check Point σημείωσε περαιτέρω ότι οι λογαριασμοί GitHub αποτελούν μέρος μιας μεγαλύτερης λύσης DaaS που λειτουργεί παρόμοιους λογαριασμούς φαντασμάτων σε άλλες πλατφόρμες όπως το Discord, το Facebook, το Instagram, το X και το YouTube.
“Το Stargazer Goblin δημιούργησε μια εξαιρετικά εξελιγμένη λειτουργία διανομής κακόβουλου λογισμικού που αποφεύγει τον εντοπισμό καθώς το GitHub θεωρείται νόμιμος ιστότοπος, παρακάμπτει τις υποψίες για κακόβουλες δραστηριότητες και ελαχιστοποιεί και ανακτά οποιαδήποτε ζημιά όταν το GitHub διαταράσσει το δίκτυό του”, είπε ο Terefos.
Η χρήση πολλαπλών λογαριασμών και προφίλ που εκτελούν διαφορετικές δραστηριότητες από το αστέρι έως τη φιλοξενία του αποθετηρίου, τη δέσμευση του προτύπου phishing και τη φιλοξενία κακόβουλων εκδόσεων, επιτρέπει στο Stargazers Ghost Network να ελαχιστοποιεί τις απώλειές του όταν το GitHub εκτελεί ενέργειες για να διαταράξει τις λειτουργίες του, καθώς συνήθως μόνο ένα μέρος του όλη η λειτουργία διακόπτεται αντί για όλους τους εμπλεκόμενους λογαριασμούς».
Η εξέλιξη έρχεται καθώς άγνωστοι παράγοντες απειλών στοχεύουν τα αποθετήρια GitHub, σκουπίζουν το περιεχόμενό τους και ζητούν από τα θύματα να επικοινωνήσουν με έναν χρήστη που ονομάζεται Gitloker στο Telegram ως μέρος μιας νέας επιχείρησης εκβιασμού που βρίσκεται σε εξέλιξη από τον Φεβρουάριο του 2024.
Η επίθεση κοινωνικής μηχανικής στοχεύει προγραμματιστές με μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται από το “notifications@github.com”, με στόχο να τους εξαπατήσει ώστε να κάνουν κλικ σε ψεύτικους συνδέσμους με το πρόσχημα μιας ευκαιρίας εργασίας στο GitHub, μετά την οποία τους ζητείται να εξουσιοδοτήσουν μια νέα εφαρμογή OAuth που διαγράφει όλα τα αποθετήρια και απαιτεί πληρωμή με αντάλλαγμα την αποκατάσταση της πρόσβασης.
Ακολουθεί επίσης μια συμβουλή της Truffle Security ότι είναι δυνατή η πρόσβαση σε ευαίσθητα δεδομένα από διαγραμμένα πιρούνια, διαγραμμένα αποθετήρια, ακόμη και ιδιωτικά αποθετήρια στο GitHub, παροτρύνοντας τους οργανισμούς να λάβουν μέτρα για να προστατευτούν από αυτό που ονομάζει ευπάθεια Cross Fork Object Reference (CFOR).
“Μια ευπάθεια CFOR εμφανίζεται όταν ένα πιρούνι αποθετηρίου μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα από ένα άλλο πιρούνι (συμπεριλαμβανομένων δεδομένων από ιδιωτικά και διαγραμμένα πιρούνια)”, δήλωσε ο Joe Leon. “Παρόμοια με μια ανασφαλή αναφορά άμεσου αντικειμένου, στο CFOR προμήθεια κατακερματισμών δέσμευσης χρηστών για άμεση πρόσβαση σε δεδομένα δεσμεύσεων που διαφορετικά δεν θα ήταν ορατά σε αυτούς.”
Με άλλα λόγια, ένα κομμάτι κώδικα που δεσμεύεται σε ένα δημόσιο αποθετήριο μπορεί να είναι προσβάσιμο για πάντα, εφόσον υπάρχει τουλάχιστον ένα fork αυτού του αποθετηρίου. Επιπλέον, θα μπορούσε επίσης να χρησιμεύσει για την πρόσβαση σε κώδικα που δεσμεύεται από τη στιγμή που δημιουργείται ένα εσωτερικό fork μέχρι τη δημοσιοποίηση του αποθετηρίου.
Αξίζει να σημειωθεί, ότι αυτές οι αποφάσεις σχεδίασης είναι σκόπιμες και προέρχονται από το GitHub, όπως αναφέρεται στην επίσημη τεκμηρίωσή της.
Όταν μετατρέπετε ένα ιδιωτικό αποθετήριο σε δημόσιο, όλες οι δεσμεύσεις που σχετίζονται με αυτό το αποθετήριο, συμπεριλαμβανομένων τυχόν δεσμεύσεων που είχαν γίνει σε αποθετήρια από τα οποία είχε διαχωριστεί, θα γίνονται ορατές σε όλους.
Διαβάστε ακόμα: Η hacking συμμορία APT41 χρησιμοποιεί το κακόβουλο λογισμικό StealthVector
«Ο μέσος χρήστης βλέπει τον διαχωρισμό ιδιωτικών και δημόσιων αποθετηρίων ως ένα όριο ασφαλείας και εύλογα πιστεύει ότι οποιαδήποτε δεδομένα βρίσκονται σε ένα ιδιωτικό αποθετήριο δεν μπορούν να έχουν πρόσβαση από δημόσιους χρήστες», είπε ο Leon.
Δυστυχώς, αυτό δεν ισχύει πάντα. Επιπλέον, η διαδικασία διαγραφής συνεπάγεται την απώλεια δεδομένων. Όπως αναφέραμε προηγουμένως, η διαγραφή ενός αποθετηρίου ή ενός fork δεν σημαίνει ότι τα δεδομένα σας έχουν όντως διαγραφεί.
Πηγή: thehackernews
 που διανέμει κακόβουλο λογισμικό, το οποίο κλέβει πληροφορίες και είχε ως αποτέλεσμα 100.000 $ σε παράνομα κέρδη το περασμένο έτος.){kind=link}