खतरा डेटाबेस Malware स्टारगेज़र्स घोस्ट नेटवर्क

स्टारगेज़र्स घोस्ट नेटवर्क

स्टारगेज़र गोब्लिन नामक एक खतरनाक अभिनेता ने डिस्ट्रीब्यूशन-एज़-ए-सर्विस (DaaS) ऑपरेशन चलाने के लिए फर्जी GitHub खातों का एक नेटवर्क बनाया है, जो विभिन्न प्रकार के सूचना चुराने वाले मैलवेयर वितरित करता है, जिससे उन्हें पिछले वर्ष में 100,000 डॉलर का अवैध लाभ हुआ है।

स्टारगेज़र्स घोस्ट नेटवर्क के नाम से जाना जाने वाला यह नेटवर्क, क्लाउड-आधारित कोड होस्टिंग प्लेटफॉर्म पर 3,000 से अधिक खाते शामिल करता है और इसमें दुर्भावनापूर्ण लिंक और मैलवेयर साझा करने के लिए उपयोग किए जाने वाले हजारों रिपॉजिटरी शामिल हैं।

इस नेटवर्क के ज़रिए फैले मैलवेयर परिवारों में अटलांटिडा स्टीलर, रादामंथिस, राइज़प्रो, लुम्मा स्टीलर और रेडलाइन शामिल हैं। इसके अलावा, नकली खाते वैधता का दिखावा करने के लिए इन दुर्भावनापूर्ण रिपॉजिटरी को स्टार करने, फ़ॉर्क करने, देखने और सदस्यता लेने जैसी गतिविधियों में संलग्न हैं।

सामान्य उपयोगकर्ताओं के रूप में प्रस्तुत होने वाले दुर्भावनापूर्ण खाते

ऐसा माना जाता है कि यह नेटवर्क अगस्त 2022 से कुछ प्रारंभिक रूप में सक्रिय हो गया है, हालांकि जुलाई 2023 की शुरुआत तक DaaS के लिए एक विज्ञापन अंधेरे में नहीं देखा गया था। धमकी देने वाले अभिनेता अब 'घोस्ट' खातों का एक नेटवर्क संचालित करते हैं जो रिलीज के रूप में उनके रिपॉजिटरी और एन्क्रिप्टेड अभिलेखागार पर दुर्भावनापूर्ण लिंक के माध्यम से मैलवेयर वितरित करते हैं।

यह नेटवर्क न केवल मैलवेयर वितरित करता है, बल्कि विभिन्न अन्य गतिविधियां भी करता है, जिससे ये 'घोस्ट' खाते सामान्य उपयोगकर्ताओं के रूप में दिखाई देते हैं, तथा उनके कार्यों और संबंधित रिपॉजिटरी को नकली वैधता प्रदान करते हैं।

GitHub खातों की विभिन्न श्रेणियां योजना के विभिन्न पहलुओं के लिए जिम्मेदार हैं, ताकि जब प्लेटफॉर्म पर दुर्भावनापूर्ण पेलोड चिह्नित किए जाएं, तो GitHub द्वारा उन्हें हटाने के प्रयासों के प्रति उनके बुनियादी ढांचे को अधिक लचीला बनाया जा सके।

ख़तरा पैदा करने वाले तत्वों द्वारा उपयोग किए जाने वाले विभिन्न प्रकार के खाते

नेटवर्क विभिन्न कार्यों के लिए विभिन्न प्रकार के खातों का उपयोग करता है: कुछ खाते फ़िशिंग रिपोजिटरी टेम्पलेट्स का प्रबंधन करते हैं, अन्य इन टेम्पलेट्स के लिए छवियां प्रदान करते हैं, और कुछ पासवर्ड-संरक्षित अभिलेखागार में मैलवेयर को क्रैक किए गए सॉफ़्टवेयर या गेम चीट्स के रूप में छिपाकर भेजते हैं।

यदि GitHub खातों के तीसरे सेट का पता लगाता है और उसे प्रतिबंधित करता है, तो Stargazer Goblin पहले सेट के फ़िशिंग रिपोजिटरी को एक सक्रिय दुर्भावनापूर्ण रिलीज़ के नए लिंक के साथ अपडेट कर देता है, जिससे परिचालन संबंधी व्यवधान न्यूनतम हो जाता है।

विभिन्न रिपॉजिटरीज से नई रिलीज को लाइक करने और README.md फाइलों में डाउनलोड लिंक को संशोधित करने के अलावा, साक्ष्यों से पता चलता है कि नेटवर्क में कुछ खातों के साथ छेड़छाड़ की गई है, तथा उनके क्रेडेंशियल्स को संभवतः चोरी करने वाले मैलवेयर के माध्यम से प्राप्त किया गया है।

शोधकर्ताओं ने पाया है कि रिपॉजिटरी और स्टारगेज़र खाते अक्सर प्रतिबंधों और रिपॉजिटरी टेकडाउन से अप्रभावित रहते हैं, जबकि कमिट और रिलीज़ खातों को आमतौर पर उनके दुर्भावनापूर्ण रिपॉजिटरी का पता चलने पर प्रतिबंधित कर दिया जाता है। लिंक-रिपॉजिटरी को देखना भी आम बात है जिसमें प्रतिबंधित रिलीज़-रिपॉजिटरी के लिंक होते हैं। जब ऐसा होता है, तो संबंधित कमिट खाता दुर्भावनापूर्ण लिंक को एक नए लिंक में अपडेट कर देता है।

विभिन्न मैलवेयर खतरे तैनात

विशेषज्ञों द्वारा उजागर किए गए अभियानों में से एक में GitHub रिपॉजिटरी की ओर ले जाने वाला एक दुर्भावनापूर्ण लिंक शामिल है। यह रिपॉजिटरी उपयोगकर्ताओं को एक वर्डप्रेस साइट पर होस्ट की गई PHP स्क्रिप्ट पर निर्देशित करती है, जो फिर एक PowerShell स्क्रिप्ट के माध्यम से अटलांटिडा स्टीलर को निष्पादित करने के लिए एक HTML एप्लिकेशन (HTA) फ़ाइल वितरित करती है।

एटलांटिडा स्टीलर के अलावा, DaaS अन्य मैलवेयर फ़ैमिली भी वितरित करता है, जिसमें लुम्मा स्टीलर, रेडलाइन स्टीलर, रादामंथिस और राइज़प्रो शामिल हैं। विशेषज्ञों ने देखा है कि ये GitHub खाते एक व्यापक DaaS नेटवर्क का हिस्सा हैं जो डिस्कॉर्ड, फ़ेसबुक, इंस्टाग्राम, एक्स और यूट्यूब जैसे अन्य प्लेटफ़ॉर्म पर समान 'घोस्ट' खाते संचालित करता है।

निष्कर्ष

स्टारगेज़र गोब्लिन ने एक अत्यधिक परिष्कृत मैलवेयर वितरण ऑपरेशन विकसित किया है जो GitHub की वैध साइट के रूप में प्रतिष्ठा का लाभ उठाकर चतुराई से पता लगाने से बचता है। यह दृष्टिकोण दुर्भावनापूर्ण गतिविधियों के संदेह से बचने में मदद करता है और GitHub के हस्तक्षेप से होने वाले नुकसान को कम करता है।

विभिन्न कार्यों के लिए विभिन्न खातों और प्रोफाइल का उपयोग करके - जैसे कि रिपॉजिटरी को स्टार करना, उन्हें होस्ट करना, फ़िशिंग टेम्प्लेट को कमिट करना और दुर्भावनापूर्ण रिलीज़ को होस्ट करना - स्टारगेज़र्स घोस्ट नेटवर्क अपने नुकसान को सीमित कर सकता है। जब GitHub उनके संचालन को बाधित करता है, तो यह आमतौर पर नेटवर्क के केवल एक हिस्से को प्रभावित करता है, जिससे उनके बाकी बुनियादी ढांचे को न्यूनतम प्रभाव के साथ काम करना जारी रखने की अनुमति मिलती है।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...