GitHub, den ledande plattformen för kodvärd och utvecklarsamarbete, används av cyberkriminella grupper för att massivt sprida skadlig programvara via spökkonton. Nyligen genomförda undersökningar har avslöjat att tusentals fantomkonton fungerar på plattformen för att distribuera skadlig programvara, vilket lurar användare genom till synes legitima arkiv.
Gruppen bakom denna operation, ringde Stargazer Goblin, har utvecklat ett sofistikerat distributionsnätverk för skadlig programvara genom att dra fördel av det förtroende som utvecklare har för GitHub. Detta system har gjort det möjligt för angripare att generera betydande intäkter genom en välstrukturerad strategi som gör det svårt att upptäcka och eliminera.
Hur spökkonton fungerar på GitHub
Huvudproblemet ligger i förekomsten av falska konton på GitHub vars enda syfte är att distribuera skadlig programvara genom att dra fördel av systemfunktioner, såsom möjligheten att splittra arkiv och tilldela stjärnor. Dessa konton utför olika funktioner inom det cyberkriminella nätverket:
- Nätfiskelagringsplatser: De är skapade med iögonfallande beskrivningar för att locka användare att ladda ner skadliga filer.
- Konton som ger stjärnor: öka synligheten och trovärdigheten för skadliga arkiv.
- Skadliga länkar i README.md-filer: leda till nedladdning av komprometterad programvara som verkar legitim.
- Automatisering av aktiviteter: Angripare använder bots för att dela och spåra infekterade förråd.
Denna strategi gör att skadlig programvara kan distribueras effektivt utan att det omedelbart väcker misstankar.
Varianter av skadlig programvara sprids via GitHub
Forskare har identifierat flera familjer med skadlig programvara som har distribuerats via detta nätverk av spökkonton, inklusive:
- Atlantida Stealer: stjäl användaruppgifter och kryptovalutadata.
- Rhadamanthys: utformad för att stjäla bankinformation.
- Lumma Stealer: specialiserad på att skaffa privata uppgifter.
- Redline: en av de mest använda informationsstöldande trojanerna.
Skadliga konton använder också förvar för att vara värd för komprimerade filer lösenord skyddat, vilket gör det svårt för cybersäkerhetslösningar att upptäcka dem.
Hur cyberkriminella undviker upptäckt med spökkonton på Github
För att hålla det skadliga nätverket aktivt trots GitHubs ansträngningar att ta bort bedrägliga konton, använder angripare flera taktiker:
- Snabblänksomdirigering: När GitHub tar bort ett skadligt arkiv uppdaterar kriminella länkarna i sina andra arkiv för att upprätthålla distributionen.
- Använda flera konton: Varje falskt konto har en specifik funktion inom nätverket, som att validera arkiv eller lägga upp komprometterade länkar.
- Distribution via sociala nätverk och forum: Kampanjer har upptäckts på Discord och andra kanaler där länkar till dessa skadliga arkiv delas.
Senaste fall och växande hot
Enligt Check Point Research infekterade Stargazers Ghost-nätverket bara i januari 2024 mer än 1.300 användare med skadlig programvara på bara fyra dagar. Dessutom har GitHub-relaterade bedrägerier varit aktiva sedan åtminstone 2022, med en hållbar tillväxt under senare år.
Gruppen har genererat mer än US-dollar 100.000 tack vare försäljningen av tillgång till sitt nätverk av spökkonton och utbudet av tjänster som t.ex stjärnmanipulation och förvarsgafflar.
GitHubs falska jobberbjudande bluff
En annan metod som används av cyberkriminella för att infektera datorer är att lura utvecklare igenom falska jobberbjudanden. I dessa bedrägerier kontaktar angripare programmerare och ber dem att ladda ner ett privat arkiv som en del av ett tekniskt test. Koden innehåller dock skadlig programvara som äventyrar offrens enheter.
Offren, som tror att de får tillgång till en legitim arbetsmöjlighet, avrättar omedvetet skadlig programvara som stjäl dina referenser eller till och med tillåter fjärråtkomst till dina datorer.
Rekommendationer för att hålla sig skyddade
Med tanke på spridningen av dessa hot är det viktigt att GitHub-utvecklare och användare vidtar säkerhetsåtgärder:
- Verifiera äktheten av arkiven: kontrollera skaparens rykte och tidigare aktivitet på GitHub.
- Undvik att ladda ner filer från okända källor: speciellt om de är krypterade eller lösenordsskyddade.
- Kör inte kod utan att granska den först: När du är osäker, kör i en isolerad miljö som en virtuell maskin.
- Var uppmärksam på jobberbjudanden som är för attraktiva: Undvik att ladda ner kod från privata arkiv utan ytterligare verifiering. Var försiktig med misstänkta jobberbjudanden.
Plattformar som GitHub har visat sig vara grundläggande verktyg för mjukvaruutveckling, men de kan också bli det attackvektorer om lämpliga försiktighetsåtgärder inte vidtas. Den sofistikerade taktiken som används av cyberkriminella visar detta betydelsen av cybersäkerhet i samverkande utvecklingsmiljöer. Dela den här nyheten så att fler användare vet om faran..