GitHub, а також подібні сховища коду з відкритим вихідним кодом і проєкти стали звичайною мішенню для кіберзлочинців, які прагнуть заманити розробників у несвідоме завантаження шкідливих сценаріїв.
Як повідомляє DevOps.com, група хакерів, відома як Stargazer Goblin, використовує новий метод розповсюдження зловмисного програмного забезпечення і шкідливих посилань через платформу GitHub, що належить корпорації Microsoft. Це мережа із понад 3000 підроблених облікових записів, які включають фішингові сховища, виявили дослідники загроз кібербезпеці Check Point Research.
Деякі з цих облікових записів використовуються для розповсюдження зловмисного ПЗ, яке включає низку загроз і шкідливих сценаріїв. Зокрема, це Atlantida Stealer та інші викрадачі інформації, такі як Rhadamanthys і RedLine.
Водночас інші використовуються для створення атмосфери легітимності навколо цих підроблених облікових записів через такі дії, як позначення зірочками (по суті уподобайка), розгалуження (створення копії) і перегляд.
«Мережа Stargazers Ghost змінює гру, надаючи шкідливе сховище, де шкідливе посилання позначається зірочкою та перевіряється кількома обліковими записами GitHub, таким чином підтримуючи його легітимність», — написав у звіті дослідник Check Point Антоніс Терефос, зазначивши, що такі дії можуть допомогти заманити жертв.
«Ми вступаємо у нову еру розповсюдження шкідливого ПЗ, коли облікові записи-«привиди» органічно просувають і поширюють шкідливі посилання на різних платформах. Майбутні облікові записи-«привиди» на основі штучного інтелекту можуть запускати ще більш цілеспрямовані кампанії. Це ускладнить розрізнення законного контенту і шкідливого», — стверджує Терефос.
Зловмисники звертаються до сховищ коду
GitHub, Python Package Index (PyPI), npm та подібні репозиторії є привабливими для хакерів, які бачать у них спосіб поширення зловмисного програмного забезпечення через атаки на ланцюги його постачання шляхом імплантації зловмисного ПЗ у легітимні пакети ПЗ, які потім використовуються розробниками та організаціями.
У цьому випадку фішингові шаблони й теги у підроблених сховищах адаптовані до інтересів жертв, включно із соціальними мережами, іграми та криптовалютою. Це може збільшити загрози. Йдеться про програми-вимагачі, викрадені облікові дані та скомпрометовані криптогаманці.
Шкідливі репозиторії GitHub насамперед націлені на користувачів Windows, хоча подібні методи розповсюдження зловмисного ПЗ можна використовувати і проти користувачів Linux або Android, які також мають великі бази даних користувачів.
Stargazer Goblin використовує Stargazers Ghost Network як систему розповсюдження як послугу (DaaS). Інші зловмисники можуть використовувати її для розповсюдження свого зловмисного програмного забезпечення або шкідливих посилань через фішингові шаблони на GitHub.
Дослідники вважають, що те, що було знайдено на GitHub, є частиною більшої операції, яка включає схожі облікові записи Ghost («привиди») на платформах X, Instagram, YouTube, Twitch і Discord.
Раніше ProIT повідомляв, що розробники, які судилися через GitHub Copilot, отримали серйозний удар у суді.
Читайте також на ProIT: GitHub Copilot Workspace вдосконалює ШІ-функції для розробників.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!