खतरा डाटाबेस Malware Stargazers भूत नेटवर्क

Stargazers भूत नेटवर्क

Stargazer Goblin को रूपमा चिनिने एक खतरा अभिनेताले वितरण-ए-सर्भिस (DaaS) सञ्चालन सञ्चालन गर्न नक्कली GitHub खाताहरूको नेटवर्क सिर्जना गरेको छ जसले विभिन्न प्रकारका जानकारी-चोरी मालवेयर वितरण गर्दछ, उनीहरूलाई गत वर्षमा अवैध नाफामा $ 100,000 कमाउँछ।

Stargazers Ghost Network भनेर चिनिने यो नेटवर्कले क्लाउड-आधारित कोड होस्टिङ प्लेटफर्ममा 3,000 भन्दा बढी खाताहरू समावेश गर्दछ र दुर्भावनापूर्ण लिङ्कहरू र मालवेयर साझेदारी गर्न प्रयोग गरिने हजारौं भण्डारहरू फैलाउँछ।

यस नेटवर्क मार्फत फैलिएको मालवेयर परिवारहरूले Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer, र RedLine समावेश गर्दछ। थप रूपमा, नक्कली खाताहरूले वैधताको उपस्थिति सिर्जना गर्न यी दुर्भावनापूर्ण भण्डारहरूमा ताराङ्कन, फोर्किङ, हेर्ने र सदस्यता लिने जस्ता गतिविधिहरूमा संलग्न हुन्छन्।

खराब खाताहरू सामान्य प्रयोगकर्ताहरूको रूपमा प्रस्तुत गर्दै

नेटवर्क केही प्रारम्भिक रूपमा अगस्त 2022 देखि सक्रिय भएको विश्वास गरिन्छ, यद्यपि DaaS को लागि विज्ञापन जुलाई 2023 को शुरुवात सम्म अँध्यारोमा देखा परेको थिएन। खतरा अभिनेताहरूले अब 'भूत' खाताहरूको नेटवर्क सञ्चालन गर्दछ जसले मालवेयर मार्फत वितरण गर्दछ। तिनीहरूको रिपोजिटरीहरूमा मालिसियस लिङ्कहरू र इन्क्रिप्टेड अभिलेखहरू रिलीजको रूपमा।

यो नेटवर्कले मालवेयर मात्र वितरण गर्दैन तर यी 'भूत' खाताहरूलाई सामान्य प्रयोगकर्ताको रूपमा देखा पर्ने विभिन्न अन्य गतिविधिहरू पनि प्रदान गर्दछ, तिनीहरूका कार्यहरू र सम्बन्धित भण्डारहरूलाई नक्कली वैधता प्रदान गर्दछ।

GitHub खाताहरूका बिभिन्न कोटीहरू योजनाका फरक पक्षहरूको लागि जिम्मेवार हुन्छन् GitHub द्वारा टेकडाउन प्रयासहरूमा उनीहरूको पूर्वाधारलाई अझ लचिलो बनाउने प्रयासमा जब मालिसियस पेलोडहरू प्लेटफर्ममा फ्ल्याग हुन्छन्।

विभिन्न प्रकारका खाताहरू धम्की दिने अभिनेताहरूद्वारा प्रयोग गरिन्छ

नेटवर्कले विभिन्न प्रकारका खाताहरू विभिन्न प्रकार्यहरूका लागि प्रयोग गर्दछ: केही खाताहरूले फिसिङ भण्डार टेम्प्लेटहरू प्रबन्ध गर्छन्, अरूले यी टेम्प्लेटहरूका लागि छविहरू आपूर्ति गर्छन्, र केहीले क्र्याक सफ्टवेयर वा गेम चीट्सको रूपमा भेषमा पासवर्ड-सुरक्षित अभिलेखहरूमा भण्डारहरूमा मालवेयर धकेल्छन्।

यदि GitHub ले खाताहरूको तेस्रो सेट पत्ता लगाउँछ र प्रतिबन्ध गर्दछ भने, Stargazer Goblin ले पहिलो सेटबाट फिसिङ भण्डार अद्यावधिक गर्दछ सक्रिय मालिसियस रिलीजको लागि नयाँ लिङ्कको साथ, परिचालन अवरोधलाई कम गर्दै।

धेरै रिपोजिटरीहरूबाट नयाँ रिलीजहरू मनपर्ने र README.md फाइलहरूमा डाउनलोड लिङ्कहरू परिमार्जन गर्नुको अतिरिक्त, प्रमाणहरूले सञ्जालमा केही खाताहरू सम्झौता गरेको हुन सक्छ, तिनीहरूको प्रमाणहरू चोरेर मालवेयर मार्फत प्राप्त गरेको हुन सक्छ।

अन्वेषकहरूले सामान्यतया फेला पार्छन् कि रिपोजिटरी र स्टारगाजर खाताहरू प्राय: प्रतिबन्ध र भण्डार टेकडाउनहरूबाट अप्रभावित रहन्छन्, जबकि कमिट र रिलीज खाताहरू सामान्यतया प्रतिबन्धित हुन्छन् जब तिनीहरूको दुर्भावनापूर्ण भण्डारहरू पत्ता लगाइन्छ। प्रतिबन्धित रिलीज-रिपोजिटरीहरूमा लिङ्कहरू समावेश गर्ने लिङ्क-रिपोजिटरीहरू हेर्न पनि यो सामान्य छ। जब यो हुन्छ, सम्बन्धित कमिट खाताले खराब लिङ्कलाई नयाँमा अद्यावधिक गर्दछ।

विभिन्न मालवेयर धम्कीहरू तैनात

विज्ञहरूले पत्ता लगाएको एउटा अभियानले GitHub रिपोजिटरीमा नेतृत्व गर्ने दुर्भावनापूर्ण लिङ्क समावेश गर्दछ। यो भण्डारले प्रयोगकर्ताहरूलाई WordPress साइटमा होस्ट गरिएको PHP स्क्रिप्टमा निर्देशित गर्दछ, जसले त्यसपछि PowerShell स्क्रिप्ट मार्फत Atlantida Stealer कार्यान्वयन गर्न HTML अनुप्रयोग (HTA) फाइल प्रदान गर्दछ।

Atlantida Stealer को अतिरिक्त, DaaS ले Lumma Stealer, RedLine Stealer, Rhadamanthys, र RisePro लगायत अन्य मालवेयर परिवारहरूलाई पनि वितरण गर्दछ। विज्ञहरूले यी GitHub खाताहरू अन्य प्लेटफर्महरू जस्तै Discord, Facebook, Instagram, X, र YouTube मा समान 'Ghost' खाताहरू सञ्चालन गर्ने फराकिलो DaaS नेटवर्कको हिस्सा भएको देखेका छन्।

निष्कर्ष

Stargazer Goblin ले एक उच्च परिष्कृत मालवेयर वितरण सञ्चालनको विकास गरेको छ जसले GitHub को वैध साइटको रूपमा प्रतिष्ठाको लाभ उठाएर चलाखीपूर्वक पत्ता लगाउनबाट बचाउँछ। यो दृष्टिकोणले दुर्भावनापूर्ण गतिविधिहरूको शंकाबाट बच्न मद्दत गर्दछ र GitHub हस्तक्षेप गर्दा क्षति कम गर्दछ।

विभिन्न कार्यहरूका लागि विभिन्न खाताहरू र प्रोफाइलहरू प्रयोग गरेर — जस्तै ताराङ्कन भण्डारहरू, तिनीहरूलाई होस्ट गर्ने, फिसिङ टेम्प्लेटहरू गर्ने, र मालिसियस रिलीजहरू होस्ट गर्ने — Stargazers Ghost Network ले तिनीहरूको घाटा सीमित गर्न सक्छ। जब GitHub ले तिनीहरूको कार्यहरू अवरुद्ध गर्दछ, यसले सामान्यतया सञ्जालको एक भागलाई मात्र असर गर्छ, उनीहरूको बाँकी पूर्वाधारलाई न्यूनतम प्रभावको साथ कार्य जारी राख्न अनुमति दिन्छ।

ट्रेन्डिङ

धेरै हेरिएको

लोड गर्दै...