Haker poznat kao Stargazer Goblin je uspostavio mrežu neautentičnih GitHub naloga kako bi podstakao Distribution-as-a-Service (DaaS) koji propagira razne zlonamjerne softvere za krađu informacija i priskrbio im 100.000 dolara nezakonitog profita tijekom prošle godine.
Mreža, koja se sastoji od preko 3.000 naloga na platformi za hostovanje kodova zasnovanoj na cloud-u, obuhvata hiljade spremišta koja se koriste za deljenje zlonamernih linkova ili zlonamernog softvera, prema Check Point-u, koji ju je nazvao “Mreža duhova Stargazera”.
Neke od familija zlonamjernog softvera koji se razmnožavaju korištenjem ove metode uključuju Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer i RedLine, a lažni nalozi takođe su uključeni u glumljenje, forkiranje, gledanje i pretplatu na zlonamjerna spremišta kako bi im dali izgled legitimnosti.
Vjeruje se da je mreža bila aktivna od avgusta 2022. u nekom preliminarnom obliku, iako reklama za DaaS nije primijećena u mraku sve do početka jula 2023.
“Hakeri sada upravljaju mrežom ‘Ghost’ naloga koji distribuiraju zlonamjerni softver putem zlonamjernih veza u svojim spremištima i šifrovanim arhivama kao izdanja”, objasnio je istraživač sigurnosti Antonis Terefos u analizi objavljenoj prošle sedmice.
“Ova mreža ne samo da distribuira zlonamjerni softver, već i pruža razne druge aktivnosti koje čine da se ovi ‘Ghost’ nalozi pojavljuju kao normalni korisnici, dajući lažni legitimitet njihovim radnjama i povezanim spremištima.”
Različite kategorije GitHub naloga su odgovorne za različite aspekte šeme u pokušaju da svoju infrastrukturu učine otpornijom na pokušaje uklanjanja od strane GitHub-a kada su na platformi označeni zlonamerni korisni sadržaji.
To uključuje naloge koji služe predlošku phishing repozitorija, naloge koji obezbeđuju sliku za phishing šablon i naloge koji guraju zlonamerni softver u spremišta u obliku arhive zaštićene lozinkom koja se maskira kao krekovani softver i igre.
Ako GitHub otkrije i zabrani treći set naloga, Stargazer Goblin će ažurirati phishing repozitorijum prvog naloga novom vezom do novog aktivnog zlonamernog izdanja, omogućavajući tako operaterima da napreduju uz minimalne smetnje.
Osim što volite nova izdanja iz više repozitorija i unosite promjene u README.md datoteke kako biste modificirali linkove za preuzimanje, postoje dokazi koji ukazuju na to da su neki računi koji su dio mreže prethodno bili kompromitovani, a akredativi su vjerovatno dobijene putem malvera za krađu.
„Većinu vremena primjećujemo da na račune Repozitorija i Stargazera ne utječu zabrane i uklanjanja spremišta, dok se nalozi za urezivanje i oslobađanje obično zabranjuju nakon što se otkriju zlonamjerna spremišta,“ rekao je Terefos.
“Uobičajeno je pronaći Link-Repositories koji sadrže veze do zabranjenih Release-Repositories. Kada se to dogodi, Urezivanje račun povezan sa Link-Repository ažurira zlonamjernu vezu novom.”
Jedna od kampanja koje je otkrio Check Point uključuje korištenje zlonamjerne veze do GitHub spremišta koja, zauzvrat, upućuje na PHP skriptu hostiranu na WordPress stranici i isporučuje datoteku HTML aplikacije (HTA) da bi se na kraju izvršila Atlantida Stealer putem PowerShell skripte.
Druge porodice zlonamjernog softvera koje se razmnožavaju putem DaaS-a su Lumma Stealer, RedLine Stealer, Rhadamanthys i RisePro. Check Point je dalje napomenuo da su GitHub nalozi dio većeg DaaS rješenja koje upravlja sličnim ghost nalozima na drugim platformama kao što su Discord, Facebook, Instagram, X i YouTube.
“Stargazer Goblin kreirao je izuzetno sofisticiranu operaciju distribucije zlonamjernog softvera koja izbjegava otkrivanje jer se GitHub smatra legitimnom web-stranicom, zaobilazi sumnje u zlonamjerne aktivnosti i minimizira i nadoknađuje bilo kakvu štetu kada GitHub poremeti njihovu mrežu”, rekao je Terefos.
“Korišćenje više naloga i profila koji obavljaju različite aktivnosti od zvjezdice do hostovanja spremišta, postavljanja predloška za krađu identiteta i hostinga zlonamjernih izdanja, omogućava Stargazers Ghost Network-u da smanji svoje gubitke kada GitHub izvrši bilo kakvu radnju da poremeti njihove operacije, jer obično samo jedan dio cijela operacija je prekinuta umjesto svih uključenih računa.”
Razvoj događaja dolazi kada nepoznati hakeri ciljaju GitHub repozitorije, brišu njihov sadržaj i traže od žrtava da dopru do korisnika po imenu Gitloker na Telegramu kao dio nove operacije iznude koja traje od februara 2024. godine.
Napad socijalnog inženjeringa cilja programere s phishing e-mailovima poslanim sa “notifications@github.com”, s ciljem da ih navede da kliknu na lažne veze pod krinkom prilike za posao na GitHubu, nakon čega se od njih traži da autorizuju novu OAuth aplikaciju koja briše sva spremišta i zahtijeva plaćanje u zamjenu za vraćanje pristupa.
Takođe slijedi savjet Truffle Security-a da je moguće pristupiti osjetljivim podacima iz izbrisanih forkova, izbrisanih spremišta, pa čak i privatnih spremišta na GitHub-u, podstičući organizacije da poduzmu korake kako bi se zaštitile od ranjivosti koja se naziva Cross Fork Object Reference (CFOR).
“CFOR ranjivost se javlja kada jedna viljuška spremišta može pristupiti osjetljivim podacima iz druge viljuške (uključujući podatke iz privatnih i izbrisanih forkova)”, rekao je Joe Leon. “Slično nesigurnoj direktnoj referenci objekta, u CFOR-u korisnici dostavljaju hešove urezivanja za direktan pristup podacima urezivanja koji im inače ne bi bili vidljivi.”
Drugim riječima, dio koda koji je predao javnom spremištu može biti dostupan zauvijek sve dok postoji barem jedna vilica tog spremišta. Povrh toga, može se koristiti i za pristup kodu koji je urezan između vremena kreiranja interne vilice i objavljivanja spremišta.
Međutim, vrijedno je napomenuti da su ovo namjerne odluke o dizajnu koje je donio GitHub, kao što je kompanija navela u svojoj dokumentaciji –
- Urezivanje u bilo koje spremište u fork mreži može se pristupiti iz bilo kog spremišta u istoj mreži razdvojenosti, uključujući i uzvodno spremište
- Kada promijenite privatno spremište u javno, sva urezivanja u tom spremištu, uključujući i sva urezivanja napravljena u spremištima na koja je račvano, bit će vidljiva svima.
“Prosječni korisnik smatra razdvajanje privatnih i javnih spremišta kao sigurnosnu granicu i razumljivo vjeruje da javni korisnici ne mogu pristupiti bilo kojim podacima koji se nalaze u privatnom spremištu”, rekao je Leon.
“Nažalost, […] to nije uvijek tačno. Štaviše, čin brisanja podrazumijeva uništavanje podataka. Kao što smo vidjeli gore, brisanje spremišta ili viljuške ne znači da su vaši podaci o urezivanju zapravo izbrisani.”
Izvor:The Hacker News