Хакерская сеть тихо распространяет вредоносное ПО на GitHub

По данным Check Point, злоумышленник создал сеть из более чем 3000 учётных записей GitHub для распространения вредоносного ПО и ссылок, а также для осуществления других вредоносных действий.

Известный как Stargazer Goblin, злоумышленник создавал сеть с августа 2022 года, используя её в операции по распространению как услуге (DaaS), в ходе которой жертв заманивают в фишинговые репозитории.

Учётные записи, которые Check Point в совокупности называет Stargazers Ghost Network, были замечены в распространении вредоносного ПО для кражи информации, такого как Atlantida Stealer, Lumma Stealer, Rhadamanthys, RisePro и RedLine.

Stargazer Goblin начал рекламировать DaaS на подпольных форумах в июле 2023 года и, по оценкам, заработал более $100 000 с момента создания Ghost Network. С середины мая по середину июня 2024 года злоумышленник заработал около $8 000 на вредоносной деятельности.

Для пометки и проверки вредоносных ссылок, распространяемых через Stargazers Ghost Network, используются несколько учётных записей GitHub, чтобы они выглядели как настоящие, а для создания фишинговых шаблонов, ориентированных на различные социальные платформы, применяется автоматизация.

Компания по кибербезопасности также обнаружила, что учётные записи в сети взаимодействуют с несколькими другими репозиториями Ghost, в том числе подписываясь на них, ставя отметки «Нравится» релизам GitHub, на которые ведут вредоносные ссылки, или делая коммиты во вредоносных фишинговых файлах README.md.

Назначая разные роли учётным записям, а именно: repository-phishing, commit-link, Stargazer и другие учётные записи, злоумышленник гарантирует, что не все они будут забанены или приостановлены, и что сеть продолжит работу. 

Перевод выполнен журналистом издания Techno Dzen. При полном или частичном использовании материала гиперссылка обязательна.