Stargazers Ghost Network
שחקן איום שזוהה כ-Stargazer Goblin יצר רשת של חשבונות GitHub מזויפים כדי להפעיל פעולת Distribution-as-a-Service (DaaS) שמפיצה סוגים שונים של תוכנות זדוניות גונבות מידע, והרוויחה להם רווחים לא חוקיים של 100,000 דולר בשנה האחרונה.
רשת זו, הידועה בשם Stargazers Ghost Network, כוללת יותר מ-3,000 חשבונות בפלטפורמת אירוח הקוד מבוססת הענן ומשתרעת על אלפי מאגרים המשמשים לשיתוף קישורים זדוניים ותוכנות זדוניות.
משפחות תוכנות זדוניות המופצות דרך רשת זו כוללות את Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer ו-RedLine. בנוסף, החשבונות המזויפים עוסקים בפעילויות כגון כיכב, מזלג, צפייה והירשם למאגרים זדוניים אלה כדי ליצור מראית עין של לגיטימיות.
תוכן העניינים
חשבונות זדוניים המתחזות למשתמשים רגילים
מעריכים כי הרשת פעילה מאז אוגוסט 2022 בצורה ראשונית כלשהי, אם כי פרסומת ל-DaaS לא נצפתה באפילה עד תחילת יולי 2023. שחקני האיום מפעילים כעת רשת של חשבונות 'Ghost' המפיצים תוכנות זדוניות באמצעות קישורים זדוניים במאגרים שלהם ובארכיונים מוצפנים כשחרור.
רשת זו לא רק מפיצה תוכנות זדוניות, אלא גם מספקת פעילויות שונות שגורמות לחשבונות 'רוח רפאים' אלה להופיע כמשתמשים רגילים, מה שמעניק לגיטימציה מזויפת לפעולות שלהם ולמאגרים הקשורים.
קטגוריות שונות של חשבונות GitHub אחראיות להיבטים שונים של הסכימה בניסיון להפוך את התשתית שלהם לעמידה יותר בפני מאמצי ההסרה של GitHub כאשר מטענים זדוניים מסומנים בפלטפורמה.
סוגים שונים של חשבונות המשמשים את שחקני האיום
הרשת מעסיקה סוגים שונים של חשבונות עבור פונקציות שונות: חלק מהחשבונות מנהלים תבניות של מאגר דיוג, אחרים מספקים תמונות עבור התבניות הללו, וחלק דוחפים תוכנות זדוניות למאגרים בארכיונים מוגני סיסמה, במסווה של תוכנה פצועה או בגידות משחק.
אם GitHub מזהה ואוסר את קבוצת החשבונות השלישית, Stargazer Goblin מעדכן את מאגר הדיוג מהקבוצה הראשונה עם קישור חדש לגרסה זדונית פעילה, וממזער את ההפרעה התפעולית.
בנוסף לחבב מהדורות חדשות ממספר מאגרים ושינוי קישורי הורדה בקבצי README.md, עדויות מצביעות על כך שייתכן שכמה חשבונות ברשת נפגעו, כאשר האישורים שלהם הושגו ככל הנראה באמצעות תוכנות זדוניות גונבות.
חוקרים מוצאים בדרך כלל שחשבונות Repository ו-Stargazer לרוב לא מושפעים מחסומים והסרת מאגרים, בעוד שחשבונות Commit ו-Release בדרך כלל נאסרים ברגע שהמאגרים הזדוניים שלהם מתגלים. זה גם נפוץ לראות קישורים-Repositories המכילים קישורים ל-Repository-Repositories אסורים. כאשר זה קורה, חשבון Commit המשויך מעדכן את הקישור הזדוני לקישור חדש.
איומים שונים של תוכנות זדוניות נפרסו
אחד הקמפיינים שנחשפו על ידי מומחים כולל קישור זדוני המוביל למאגר GitHub. מאגר זה מפנה משתמשים לסקריפט PHP המתארח באתר וורדפרס, ולאחר מכן מספק קובץ HTML Application (HTA) לביצוע Atlantida Stealer באמצעות סקריפט PowerShell.
בנוסף ל-Atlantida Stealer, ה-DaaS מפיץ גם משפחות תוכנות זדוניות אחרות, כולל Lumma Stealer, RedLine Stealer, Rhadamanthys ו-RisePro. מומחים הבחינו שחשבונות GitHub אלה הם חלק מרשת DaaS רחבה יותר המפעילה חשבונות 'Ghost' דומים בפלטפורמות אחרות כגון Discord, Facebook, Instagram, X ו-YouTube.
סיכום
Stargazer Goblin פיתחה פעולת הפצת תוכנות זדוניות מתוחכמת ביותר אשר מתחמקת בחוכמה מזיהוי על ידי מינוף המוניטין של GitHub כאתר לגיטימי. גישה זו עוזרת למנוע חשד לפעילויות זדוניות ומפחיתה נזקים כאשר GitHub מתערב.
על ידי שימוש במגוון חשבונות ופרופילים עבור משימות שונות - כגון סימון מאגרים בכוכבים, אירוחם, ביצוע תבניות דיוג ואירוח מהדורות זדוניות - Stargazers Ghost Network יכולה להגביל את ההפסדים שלהם. כאשר GitHub משבש את הפעילות שלהם, זה בדרך כלל משפיע רק על חלק מהרשת, ומאפשר לשאר התשתית שלהם להמשיך לתפקד עם השפעה מינימלית.