شبكة أشباح مراقبي النجوم
أنشأ ممثل التهديد الذي تم تحديده باسم Stargazer Goblin شبكة من حسابات GitHub المزيفة لتشغيل عملية التوزيع كخدمة (DaaS) التي توزع أنواعًا مختلفة من البرامج الضارة لسرقة المعلومات، مما أدى إلى حصولهم على أرباح غير قانونية بقيمة 100000 دولار على مدار العام الماضي.
تتضمن هذه الشبكة، المعروفة باسم Stargazers Ghost Network، أكثر من 3000 حساب على منصة استضافة التعليمات البرمجية المستندة إلى السحابة وتمتد على آلاف المستودعات المستخدمة لمشاركة الروابط الضارة والبرامج الضارة.
تشمل عائلات البرامج الضارة المنتشرة عبر هذه الشبكة Atlantida Stealer، وRadamanthys، وRisePro، وLumma Stealer، وRedLine. بالإضافة إلى ذلك، تنخرط الحسابات المزيفة في أنشطة مثل تمييز هذه المستودعات الضارة وتمييزها ومشاهدتها والاشتراك فيها لإضفاء مظهر الشرعية.
جدول المحتويات
الحسابات الضارة التي تتظاهر بأنها مستخدمين عاديين
يُعتقد أن الشبكة كانت نشطة منذ أغسطس 2022 في بعض الأشكال الأولية، على الرغم من أنه لم يتم رصد إعلان لـ DaaS في الظلام حتى أوائل يوليو 2023. وتدير الجهات الفاعلة في التهديد الآن شبكة من حسابات "Ghost" التي توزع البرامج الضارة عبر الروابط الضارة على مستودعاتهم والمحفوظات المشفرة كإصدار.
لا تقوم هذه الشبكة بتوزيع البرامج الضارة فحسب، بل توفر أيضًا العديد من الأنشطة الأخرى التي تجعل حسابات "الشبح" هذه تظهر كمستخدمين عاديين، مما يضفي شرعية زائفة على تصرفاتهم والمستودعات المرتبطة بها.
تعد الفئات المختلفة لحسابات GitHub مسؤولة عن جوانب مختلفة من المخطط في محاولة لجعل بنيتها التحتية أكثر مرونة في مواجهة جهود الإزالة التي يقوم بها GitHub عندما يتم وضع علامة على حمولات ضارة على النظام الأساسي.
أنواع مختلفة من الحسابات التي يستخدمها ممثلو التهديد
تستخدم الشبكة أنواعًا مختلفة من الحسابات لوظائف مختلفة: تدير بعض الحسابات قوالب مستودعات التصيد الاحتيالي، وتوفر حسابات أخرى صورًا لهذه القوالب، ويدفع بعضها البرامج الضارة إلى المستودعات في أرشيفات محمية بكلمة مرور متخفية في شكل برامج متصدع أو غش في الألعاب.
إذا اكتشف GitHub المجموعة الثالثة من الحسابات وحظرها، فسيقوم Stargazer Goblin بتحديث مستودع التصيد الاحتيالي من المجموعة الأولى برابط جديد لإصدار ضار نشط، مما يقلل من تعطيل العمليات.
بالإضافة إلى الإعجاب بالإصدارات الجديدة من مستودعات متعددة وتعديل روابط التنزيل في ملفات README.md، تشير الأدلة إلى أن بعض الحسابات في الشبكة ربما تكون قد تعرضت للاختراق، ومن المحتمل أن يتم الحصول على بيانات اعتمادها من خلال برامج ضارة سرقة.
يجد الباحثون عادةً أن حسابات Repository وStargazer غالبًا ما تظل غير متأثرة بالحظر وعمليات إزالة المستودعات، في حين يتم عادةً حظر حسابات Commit وRelease بمجرد اكتشاف مستودعاتها الضارة. ومن الشائع أيضًا رؤية مستودعات الارتباط التي تحتوي على روابط لمستودعات الإصدار المحظورة. وعندما يحدث ذلك، يقوم حساب الالتزام المرتبط بتحديث الارتباط الضار إلى رابط جديد.
تم نشر تهديدات البرامج الضارة المختلفة
تتضمن إحدى الحملات التي اكتشفها الخبراء رابطًا ضارًا يؤدي إلى مستودع GitHub. يوجه هذا المستودع المستخدمين إلى برنامج PHP النصي المستضاف على موقع WordPress، والذي يقوم بعد ذلك بتسليم ملف تطبيق HTML (HTA) لتنفيذ Atlantida Stealer عبر برنامج PowerShell النصي.
بالإضافة إلى Atlantida Stealer، تقوم DaaS أيضًا بتوزيع عائلات البرامج الضارة الأخرى، بما في ذلك Lumma Stealer وRedLine Stealer وRadamanthys وRisePro. لاحظ الخبراء أن حسابات GitHub هذه هي جزء من شبكة DaaS الأوسع التي تدير حسابات "Ghost" مماثلة عبر منصات أخرى مثل Discord وFacebook وInstagram وX وYouTube.
خاتمة
قام Stargazer Goblin بتطوير عملية توزيع برامج ضارة متطورة للغاية تتجنب اكتشافها بذكاء من خلال الاستفادة من سمعة GitHub كموقع شرعي. يساعد هذا الأسلوب على تجنب الاشتباه في الأنشطة الضارة ويقلل الضرر عندما يتدخل GitHub.
من خلال استخدام مجموعة متنوعة من الحسابات وملفات التعريف لمهام مختلفة - مثل المستودعات المميزة بنجمة، واستضافتها، وارتكاب قوالب التصيد الاحتيالي، واستضافة الإصدارات الضارة - يمكن لشبكة Stargazers Ghost Network الحد من خسائرها. عندما يعطل GitHub عملياتهم، فإن ذلك يؤثر عادةً على جزء فقط من الشبكة، مما يسمح لبقية بنيتهم التحتية بمواصلة العمل بأقل قدر من التأثير.