Scoperta una rete di 3000 account GitHub falsi per la distribuzione di malware infostealer

Gli attori dietro l'operazione usano una strategia sofisticata e strutturata che permette loro di continuare ad operare anche nel caso in cui gli account vengano bannati da GitHub
di Andrea Bai pubblicata il 25 Luglio 2024, alle 09:31 nel canale SicurezzaLa società di sicurezza informatica Check Point Research ha scoperto una
rete di distribuzione malware operato da un gruppo di individui noti con
il nome di "Stargazer Goblin" e che fa uso di 3000 account
GitHub fasulli che distribuiscono strumenti infostealer.
Si tratta, secondo le indagini di Check Point, di un'operazione attiva almeno da agosto 2022 ma promossa attivamente sul dark web da giugno 2023, che sfrutta una rete di repository GitHub e siti WordPress compromessi. Questi ultimi in particolare sono sfruttati per la distribuzione di archivi protetti da password e che a loro volta contengono vari tipi di malware, tra cui i noti e famigerati RedLine, Lumma Stealer, Rhadamanthys, RisePro e Atlantida Stealer.
L'uso di GitHub, che generalmente viene ritenuta una piattaforma affidabile, può portare gli utenti a prestare minor attenzione e cautela verso i link presenti nei repository del servizio. E l'efficacia di questa strategia è dimostrata purtroppo dal successo dell'operazione: in poco tempo migliaia di vittime hanno installato software da repository apparentemente legittimi, senza sospettare nulla. L'operazione inoltre utilizza modelli di phishing mirati, che consentono agli attori di minaccia di compromettere vittime con profili ed account specifici, rendendo quindi la violazione di particolare valore.
Stargazers Ghost Network: operazione sofisticata e strutturata
Check Point Research sottolinea che è la prima volta che viene documentata un'operazione così organizzata e su vasta scala su GitHub. Non solo, l'operazione ha mostrato anche una particolare sofisticazione: Stargazer Goblin ha creato centinaia di repository utilizzando tremila account falsi "fantasma". Questi account, battezzati nell'insieme "Stargazers Ghost Network" interagiscono tra loro, diventando star, effettuando fork e iscrivendosi a repository malevoli. Si tratta di un modo artificioso per dar credito e legittimità ai repository, aumentando inoltre la probabilità che essi compaiano nella sezione trending di GitHub.

I vari repository fanno uso di nomi di progetto e tag specifici, che puntano ad argomenti e temi verticali, come le criptovalute, il gaming o i social media, allo scopo di attirare vittime potenziali. Check Point ha inoltre riscontrato una precisa suddivisione di ruoli tra gli account fantasma, con alcuni che erogano il template di phishing, altri le immagini e altri ancora il malware effettivo.
Si tratta di un modello strutturato e organizzativo che consente al gruppo di rendere più robusta e resistente l'operatività: nel caso in cui un account che serve malware venga individuato e quindi bannato da GitHub, Stargazer Goblin aggiorna il repository di phishing con un nuovo collegamento a una nuova release dannosa attiva. In questo modo l'operazione può continuare e riprendere velocemente, senza subire particolari interruzioni.
Check Point ha inoltre individuato collegamenti tra i repository GitHub di Stargazers Ghost Network e altri canali di distribuzione, come video tutorial su YouTube. I ricercatori ipotizzano quindi che l'operazione potrebbe sfruttare diversi vettori per veicolare il traffico verso i repository di phishing o i siti di distribuzione del malware.
Nel report pubblicato da Check Point viene presentato un esempio di attacco, che mostra come un repository GitHub reindirizzi i visitatori a un sito WordPress compromesso da cui le vittime scaricano un archivio ZIP contenente un file HTA con VBScript. Questo script innesca l'esecuzione di due script PowerShell successivi che alla fine portano alla distribuzione di Atlantida Stealer.
GitHub ha già intrapreso azioni di contrasto, rimuovendo oltre 1500 repository dannosi da maggio 2024. Check Point ha rilevato però ancora oltre 200 repository ancora attivi e che continuano a distribuire malware. Secondo la società di sicurezza, l'operazione avrebbe già fruttato oltre 100 mila dollari da quando è stata lanciata.
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoLa cosa peggiore poi e' da come ho letto in altri articoli, di quelli che si infiltrano nei relaser ufficiali e ci mettono i loro virus... stiamo attenti che sta peggiorando sempre di piu'..
Azz
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".