Rangkaian Hantu Stargazers
Seorang pelakon ancaman yang dikenal pasti sebagai Stargazer Goblin telah mencipta rangkaian akaun GitHub palsu untuk menjalankan operasi Distribution-as-a-Service (DaaS) yang mengedarkan pelbagai jenis perisian hasad yang mencuri maklumat, menghasilkan keuntungan haram sebanyak $100,000 kepada mereka sepanjang tahun lalu.
Rangkaian ini, yang dikenali sebagai Rangkaian Hantu Stargazers, termasuk lebih daripada 3,000 akaun pada platform pengehosan kod berasaskan awan dan merangkumi ribuan repositori yang digunakan untuk berkongsi pautan berniat jahat dan perisian hasad.
Keluarga perisian hasad yang tersebar melalui rangkaian ini termasuk Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer dan RedLine. Selain itu, akaun palsu terlibat dalam aktiviti seperti membintangi, membuat forking, menonton dan melanggan repositori berniat jahat ini untuk mewujudkan penampilan yang sah.
Isi kandungan
Akaun Hasad Menyamar sebagai Pengguna Biasa
Rangkaian itu dipercayai telah aktif sejak Ogos 2022 dalam beberapa bentuk awal, walaupun iklan untuk DaaS tidak dikesan dalam gelap sehingga awal Julai 2023. Pelakon ancaman kini mengendalikan rangkaian akaun 'Ghost' yang mengedarkan perisian hasad melalui pautan berniat jahat pada repositori mereka dan arkib yang disulitkan sebagai keluaran.
Rangkaian ini bukan sahaja mengedarkan perisian hasad tetapi juga menyediakan pelbagai aktiviti lain yang menjadikan akaun 'Ghost' ini kelihatan sebagai pengguna biasa, memberikan kesahihan palsu kepada tindakan mereka dan repositori yang berkaitan.
Kategori akaun GitHub yang berbeza bertanggungjawab untuk aspek skema yang berbeza dalam usaha untuk menjadikan infrastruktur mereka lebih berdaya tahan terhadap usaha alih keluar oleh GitHub apabila muatan berniat jahat dibenderakan pada platform.
Pelbagai Jenis Akaun Digunakan oleh Aktor Ancaman
Rangkaian menggunakan pelbagai jenis akaun untuk fungsi yang berbeza: sesetengah akaun menguruskan templat repositori pancingan data, yang lain membekalkan imej untuk templat ini dan sesetengahnya menolak perisian hasad ke repositori dalam arkib yang dilindungi kata laluan yang menyamar sebagai perisian retak atau penipuan permainan.
Jika GitHub mengesan dan melarang set akaun ketiga, Stargazer Goblin mengemas kini repositori pancingan data daripada set pertama dengan pautan baharu kepada keluaran berniat jahat yang aktif, meminimumkan gangguan operasi.
Selain menyukai keluaran baharu daripada berbilang repositori dan mengubah suai pautan muat turun dalam fail README.md, bukti menunjukkan bahawa sesetengah akaun dalam rangkaian mungkin telah terjejas, dengan kelayakannya mungkin diperoleh melalui perisian hasad pencuri.
Penyelidik biasanya mendapati bahawa akaun Repository dan Stargazer selalunya tidak terjejas oleh sekatan dan alih keluar repositori, manakala akaun Commit dan Release biasanya diharamkan sebaik sahaja repositori berniat jahat mereka ditemui. Ia juga biasa untuk melihat Pautan-Repositori yang mengandungi pautan ke Repositori Keluaran yang dilarang. Apabila ini berlaku, akaun Commit yang berkaitan mengemas kini pautan berniat jahat kepada yang baharu.
Pelbagai Ancaman Hasad Digunakan
Salah satu kempen yang ditemui oleh pakar melibatkan pautan berniat jahat yang membawa kepada repositori GitHub. Repositori ini mengarahkan pengguna ke skrip PHP yang dihoskan pada tapak WordPress, yang kemudiannya menghantar fail Aplikasi HTML (HTA) untuk melaksanakan Atlantida Stealer melalui skrip PowerShell.
Selain Atlantida Stealer, DaaS juga mengedarkan keluarga perisian hasad lain, termasuk Lumma Stealer, RedLine Stealer, Rhadamanthys dan RisePro. Pakar telah memerhatikan bahawa akaun GitHub ini adalah sebahagian daripada rangkaian DaaS yang lebih luas yang mengendalikan akaun 'Ghost' serupa merentas platform lain seperti Discord, Facebook, Instagram, X dan YouTube.
Kesimpulan
Stargazer Goblin telah membangunkan operasi pengedaran perisian hasad yang sangat canggih yang mengelak pengesanan dengan bijak dengan memanfaatkan reputasi GitHub sebagai tapak yang sah. Pendekatan ini membantu mengelakkan syak wasangka terhadap aktiviti berniat jahat dan mengurangkan kerosakan apabila GitHub campur tangan.
Dengan menggunakan pelbagai akaun dan profil untuk tugasan yang berbeza—seperti membintangi repositori, mengehosnya, melakukan templat pancingan data dan mengehos keluaran berniat jahat—Rangkaian Hantu Stargazers boleh mengehadkan kerugian mereka. Apabila GitHub mengganggu operasi mereka, ia biasanya hanya mempengaruhi sebahagian daripada rangkaian, membenarkan seluruh infrastruktur mereka terus berfungsi dengan impak yang minimum.