Специалисты компании Check Point рассказали о хакерах группировки Stargazer Goblin, которые разработали вредоносное программное обеспечение, распространяемое с помощью более чем 3000 поддельных аккаунтов на платформе GitHub. Служба доставки вредоносного ПО называется Stargazers Ghost Network и использует репозитории GitHub вместе со скомпрометированными сайтами WordPress для распространения защищённых паролем архивов, содержащих вредоносное ПО, уточнили эксперты.
По словам специалистов компании Check Point, в большинстве случаев вредоносное ПО представляет собой инфостилеры, такие как RedLine, Lumma Stealer, Rhadamanthys, RisePro и Atlantida Stealer.
Аналитики отмечают, что поскольку GitHub является известным и надёжным сервисом, люди относятся к нему с меньшим подозрением и с большей вероятностью будут переходить по ссылкам, которые найдут в репозиториях сервиса.
Киберпреступная операция была обнаружена компанией Check Point Research, эксперты которой утверждают, что это первый случай, когда столь организованная и крупномасштабная схема была задокументирована на GitHub.
«Кампании, проводимые Stargazers Ghost Network, и вредоносное ПО, распространяемое через этот сервис, чрезвычайно успешны. За короткий промежуток времени тысячи жертв установили программное обеспечение из, казалось бы, легитимного репозитория, не подозревая о каком-либо злом умысле. Шаблоны фишинга, ориентированные на жертву, позволяют злоумышленникам заражать жертв с помощью определённых профилей и онлайн-аккаунтов, что делает заражения ещё более ценными», — говорится в отчёте Check Point Research.
Создатель операции DaaS, хакерская группировка Stargazer Goblin, активно продвигает сервис распространения вредоносного ПО в даркнете с июня 2023 года. Однако в Check Point утверждают, что есть доказательства того, что группа активна с августа 2022 года. Хакеры из Stargazer Goblin создали систему, в которой они создают сотни репозиториев, используя 3000 поддельных аккаунтов-«призраков». Эти аккаунты добавляют звёзды, форкают и подписываются на вредоносные репозитории, чтобы повысить их кажущуюся легитимность и вероятность появления в разделе трендов GitHub.
Оригинал публикации на сайте CISOCLUB: "Хакеры используют свыше 3000 аккаунтов GitHub для распространения вредоносного ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
