Un actor malicioso conocido como Stargazer Goblin creó una red de cuentas de GitHub no auténticas para impulsar una distribución como servicio (DaaS) que difunde una variedad de malware que roba información y les genera $100,000 en ganancias ilícitas durante el año pasado.
La red, que incluye más de 3.000 cuentas en la plataforma de alojamiento de código basada en la nube, abarca miles de repositorios utilizados para compartir enlaces maliciosos o malware, según Check Point, apodada “Stargazers Ghost Network”.
Algunas de las familias de malware que se propagan utilizando este método incluyen Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine, y las cuentas falsas también participan en starling, bifurcación, monitoreo y suscripción a repositorios maliciosos para darles una apariencia de legitimidad.
Se cree que la red ha estado activa desde agosto de 2022 de forma preliminar, aunque solo a principios de julio de 2023 se vio un anuncio de DaaS en la oscuridad.
“Los actores de amenazas ahora operan una red de cuentas ‘fantasmas’ que distribuyen malware a través de enlaces maliciosos en sus repositorios y archivos cifrados como versiones”, explica el investigador de seguridad Antonis Terefos. explicar en un análisis publicado la semana pasada.
“Esta red no sólo distribuye malware, sino que también lleva a cabo otras actividades que hacen que estas cuentas “fantasmas” parezcan usuarios normales, otorgando así una falsa legitimidad a sus acciones y a los repositorios asociados. »
Diferentes categorías de cuentas de GitHub son responsables de distintos aspectos del sistema con el objetivo de hacer que su infraestructura sea más resistente a los esfuerzos de eliminación de GitHub cuando se informan cargas útiles maliciosas en la plataforma.
Estas incluyen cuentas que sirven la plantilla de repositorio de phishing, cuentas que proporcionan la imagen de la plantilla de phishing y cuentas que envían malware a los repositorios en forma de un archivo protegido con contraseña disfrazado de software pirateado y trampas de juegos.
Si GitHub detecta y prohíbe el tercer conjunto de cuentas, Stargazer Goblin actualizará el repositorio de phishing de la primera cuenta con un nuevo enlace a una nueva versión de malware activo, lo que permitirá a los operadores avanzar con un mínimo de interrupciones.
Además de dar me gusta a las nuevas versiones de varios repositorios y aplicar cambios a los archivos README.md para cambiar los enlaces de descarga, hay evidencia que sugiere que algunas cuentas dentro de la red ya han sido comprometidas, información de identificación probablemente obtenida mediante el robo de malware.
“La mayoría de las veces, observamos que las cuentas de repositorio y Stargazer no se ven afectadas por las prohibiciones y eliminaciones de repositorios, mientras que las cuentas de confirmación y liberación generalmente se prohiben una vez que se detectan sus repositorios maliciosos”, dijo Terefos.
“Es común encontrar repositorios de enlaces que contienen enlaces a repositorios de versiones prohibidas. Cuando esto sucede, la cuenta de confirmación asociada con el repositorio de enlaces actualiza el enlace malicioso con uno nuevo. »
Una de las campañas descubiertas por Check Point implica el uso de un enlace malicioso a un repositorio de GitHub que, a su vez, apunta a un script PHP alojado en un sitio de WordPress y proporciona un archivo de aplicación HTML (HTA) para finalmente ejecutar Atlantida Stealer usando un Guión de PowerShell.
Otras familias de malware difundidas a través de DaaS son Lumma Stealer, RedLine Stealer, Rhadamanthys y RisePro. Check Point también señaló que las cuentas de GitHub son parte de una solución DaaS más amplia que aprovecha cuentas paralelas similares en otras plataformas como Discord, Facebook, Instagram, X y YouTube.
“Stargazer Goblin ha creado una operación de distribución de malware altamente sofisticada que evita la detección porque GitHub se considera un sitio web legítimo, evita sospechas de actividad maliciosa y minimiza y recupera cualquier daño cuando GitHub interrumpe su red”, dijo Terefos.
“El uso de múltiples cuentas y perfiles que realizan diferentes actividades, desde presentar y alojar el repositorio hasta validar el modelo de phishing y alojar compilaciones maliciosas, permite a la red oculta de Stargazers minimizar su impacto cuando GitHub realiza acciones destinadas a interrumpir sus operaciones, porque generalmente solo. se interrumpe una parte de toda la operación en lugar de todas las cuentas involucradas. »
Este desarrollo se produce cuando actores de amenazas desconocidos están apuntar Los repositorios de GitHub se vaciaron de contenido y se dirigió a las víctimas a contactar a un usuario llamado Gitloker en Telegram como parte de una nueva operación de extorsión en marcha desde febrero de 2024.
El ataque de ingeniería social se dirige a los desarrolladores con correos electrónicos de phishing enviados desde “notificaciones@github.com”, con el objetivo de engañarlos para que hagan clic en enlaces falsos bajo la apariencia de una oferta de trabajo en GitHub, tras lo cual se les solicita que autoricen un nuevo OAuth. aplicación que borra todos los repositorios y requiere un pago a cambio de restaurar el acceso.
Esto también sigue a un aviso de Truffle Security de que es posible acceder a datos confidenciales desde bifurcaciones eliminadas, repositorios eliminados e incluso repositorios privados en GitHub, instando a las organizaciones a tomar medidas para protegerse contra lo que él llama una vulnerabilidad de referencia de objetos cruzados (CFOR).
“Una vulnerabilidad CFOR ocurre cuando una bifurcación del repositorio puede acceder a datos confidenciales de otra bifurcación (incluidos datos de bifurcaciones privadas y eliminadas)”, Joe Leon dicho“De manera similar a una referencia de objeto directa insegura, en CFOR los usuarios proporcionan hashes de validación para acceder directamente a datos de validación que de otro modo no serían visibles para ellos. »
En otras palabras, se puede acceder a un fragmento de código comprometido en un repositorio público en cualquier momento siempre que exista al menos una bifurcación de ese repositorio. Además, también podría usarse para acceder al código confirmado entre el momento en que se crea una bifurcación interna y el momento en que el repositorio se hace público.
Sin embargo, cabe señalar que estas son decisiones de diseño intencionales tomadas por GitHub, como nota hablar negocio en su propia documentación –
- Se puede acceder a las confirmaciones realizadas en cualquier repositorio en una red bifurcada desde cualquier repositorio en la misma red bifurcada, incluido el repositorio ascendente.
- Cuando cambias un repositorio privado a un repositorio público, todas las confirmaciones a ese repositorio, incluidas todas las confirmaciones realizadas a los repositorios en los que se bifurcó, serán visibles para todos.
“El usuario promedio ve la separación de los repositorios públicos y privados como un límite de seguridad y, naturalmente, cree que los datos ubicados en un repositorio privado no son accesibles para los usuarios públicos”, dijo León.
“Desgraciadamente, […] Esto no siempre es cierto. Además, el acto de supresión implica la destrucción de los datos. Como vimos anteriormente, eliminar un repositorio o una bifurcación no significa que sus datos de confirmación realmente se eliminen”.