Секретная сеть атакует с 3000 теневых учётных записей GitHub

28 июля 2024, 14:18 / Технологии → Новости / Технологии

Была обнаружена секретная сеть из примерно 3000 «призрачных» учетных записей на GitHub, которая манипулирует платформой хостинга кода для продвижения вредоносного ПО и фишинговых ссылок. Недавнее исследование, проведенное фирмой по кибербезопасности Check Point, выявило деятельность киберпреступника, которого исследователи назвали «Звездочет Гоблин».

С июня 2023 года или даже раньше Stargazer Goblin активно работает на принадлежащем Microsoft GitHub, крупнейшем в мире репозитории кода с открытым исходным кодом. На сайте размещены миллионы проектов разработчиков, и Stargazer Goblin использует инструменты своего сообщества для повышения видимости репозиториев вредоносного кода и их воспринимаемой легитимности.

Антонис Терефос, инженер по обратному анализу вредоносного ПО в Check Point

Thumbnail: Check Point Check Point Software Technologies Ltd. (NASDAQ: CHKP) — компания, работающая в сфере IT-безопасности. Разрабатывает программные и аппаратные системы, включая межсетевые экраны и средства организации виртуальных частных сетей. Основана в 1993 году в Рамат-Гане, Израиль. Википедия

, который обнаружил эту сеть, подчеркнул сложность операции. Он отметил, что, хотя GitHub и раньше подвергался атакам киберпреступников, масштаб и метод этой операции беспрецедентны.

Репозитории и звезды покупаются и продаются через канал Telegram

Thumbnail: Telegram Telegram — кроссплатформенный мессенджер, позволяющий обмениваться сообщениями и медиафайлами многих форматов. Используются проприетарная серверная часть c закрытым кодом, работающая на мощностях нескольких компаний США и Германии, финансируемых Павлом Дуровым в объёме порядка 13 млн долларов США ежегодно, и несколько клиентов с открытым исходным кодом, в том числе под лицензией GNU GPL. Количество ежемесячных активных пользователей сервиса по состоянию на конец марта 2018 года составляет более 200 млн человек. В августе 2017 года в своем Telegram-канале Павел Дуров сообщил, что количество пользователей увеличивается на более чем 600 тысяч ежедневно. По данным исследовательского холдинга Romir на февраль 2018 года, в среднем пользователи Telegram в России тратят на него 10-11 минут в день. Википедия

, связанный с киберпреступностью, и различные криминальные торговые площадки. Telegram обычно используется киберпреступниками, их клиентами и жертвами. Терефос сказал, что он никогда не видел подобной сети фейковых аккаунтов, работающих на GitHub.

Сеть Stargazers Ghost Network от Check Point распространяет вредоносное ПО, замаскированное под законные инструменты для социальных сетей, игр и криптовалютных приложений. Некоторые примеры включали код для запуска VPN или лицензирования программного обеспечения, такого как Adobe Photoshop. Такие репозитории предназначены для пользователей Windows, которые ищут бесплатное программное обеспечение в Интернете.

Сеть взимает плату с других хакеров за использование ее услуг. Check Point выявила различные типы вредоносных программ, распространяемых через эту сеть, в том числе Atlantida Stealer, Rhadamanthys и Lumma Stealer. Терефос обнаружил сеть, копаясь в экземплярах Atlantida Stealer.

Stargazer Goblin размещает рекламу на форумах по киберпреступности, а его канал в Telegram предлагает такие услуги, как 100 звезд за 10 долларов и 500 звезд за 50 долларов. Он также предлагает клонировать существующие репозитории и предоставлять доверенные учетные записи. Исследование Check Point показывает, что сеть могла начать эту деятельность еще в августе 2022 года и с тех пор могла собрать до 100 000 долларов. Сообщается, что только с середины мая по середину июня этого года оператор заработал около 8000 долларов.

Компания Terefos наблюдала, как законные репозитории были взломаны и преобразованы во вредоносные с использованием украденных учетных данных. Вредоносный код может распространяться дальше, если законные пользователи создадут форк этих скомпрометированных репозиториев. Автоматизированные инструменты помогают Terefos идентифицировать учетные записи, связанные с сетью, путем распознавания общих функций, таких как схожие шаблоны и теги.

Когда GitHub обнаруживает учетную запись, поддерживающую незаконные кампании по распространению вредоносного ПО, он отключает эти учетные записи пользователей за нарушение своих политик допустимого использования. Алексис Уэйлс, вице-президент по безопасности GitHub, заявил, что в компании есть специальные команды для обнаружения и удаления такого контента и учетных записей. Эти команды используют комбинацию ручных проверок и масштабного обнаружения с использованием машинного обучения для выявления подозрительного поведения.

К сожалению, GitHub — это гигантская цель с более чем 100 миллионами пользователей и 420 миллионами репозиториев. Это делает для киберпреступников достаточно незначительной задачей спрятаться в пользовательской базе, как песчинка на пляже.

Джейк Мур, советник по глобальной кибербезопасности охранной компании Eset, предупредил пользователей GitHub о рисках загрузки вредоносного кода. Признаками вредоносных репозиториев являются неожиданные изменения кода, доступ кода к внешним ресурсам, а также жестко запрограммированные учетные данные или ключи API.

Сеть Stargazer Goblin может быть еще шире, о чем свидетельствует аккаунт YouTube, в котором вредоносные ссылки публикуются в видеороликах. Терефос подчеркивает, что полный масштаб работы сети до сих пор не до конца известен.

Источник: Tomshardware.com