Исследователи Check Point обнаружили сеть аккаунтов GitHub, которая, по их мнению, предоставляет услуги по распространению вредоносных программ и фишинговых ссылок.
Созданная и управляемая группой хакеров Stargazer Goblin (по оценкам, включает более 3 000 активных учетных записей), некоторые из которых были созданы группой, а другие – взломаны.
«Сеть распространяла вредоносные программы, включая Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer и RedLine»
- обнаружили исследователи
Подстава
Угрожающие субъекты постоянно придумывают новые способы доставки вредоносных программ без обнаружения жертвами, программным обеспечением безопасности и организациями, чьи предложения и активы они (неправильно) используют.
«Ранее GitHub использовался для прямого распространения вредоносного ПО, при этом вредоносный скрипт загружал либо необработанный зашифрованный код сценария, либо вредоносные исполняемые файлы
- пояснил исследователь Check Point Антонис Терефос
Хакеры управляют сетью учетных записей «Ghost», которые распространяют вредоносное ПО через вредоносные ссылки в своих репозиториях и зашифрованные архивы в виде релизов».
Они используют различные уловки. Как уже говорилось, вредоносные файлы или архивы защищаются паролем, чтобы помешать сканирующим решениям.
«Вредоносные ссылки на репозитории GitHub распространялись через каналы Discord. Репозитории были нацелены на различные типы жертв, которые хотели увеличить число своих подписчиков на YouTube, Twitch и Instagram, а также содержали фишинговые шаблоны для взломанного программного обеспечения и других действий, связанных с криптовалютами»
Судя по рекламе сервиса, найденной на форумах darkten, сеть работает с июля 2023 года, а возможно, и раньше, в меньших масштабах.
«Мы считаем, что Stargazer Goblin создал вселенную аккаунтов Ghost, работающих на различных платформах, таких как GitHub, Twitter, YouTube, Discord, Instagram, Facebook и многих других. Как и GitHub, другие платформы могут быть использованы для легитимизации вредоносного фишинга и распространения ссылок и вредоносного ПО среди жертв через посты, репозитории, видео, твиты и каналы, в зависимости от возможностей, которые предлагает каждая платформа»
GitHub уже удалил более 1500 репозиториев и связанных с ними учетных записей, но в июне 2024 года все еще оставалось более 200 уникальных репозиториев, распространяющих вредоносные ссылки.