Sajber kriminalci koriste više od 3000 lažnih GitHub naloga za širenje brojnih malvera

Vesti, 29.07.2024, 13:00 PM

Istraživači iz kompanije Check Point upozoravaju da sajber kriminalci zloupotrebljavaju GitHub za distribuciju malvera. Kriminalna grupa „Stargazers Goblin“ koristi mrežu, nazvanu „Stargazers Ghost“, koja ima na hiljade naizgled legitimnih naloga koji se koriste za širenje malvera.

Ovi „Ghost“ nalozi oponašaju legitimne korisnike obavljanjem aktivnosti uobičajenih za GitHub naloge kako bi izgledali kao pravi i namamili žrtve da preuzmu „reklamirani“ sadržaj.

Malveri se obično distribuiraju preko linkova koji su ugrađeni u ove repozitorijume. Korisnici koji kliknu na takve linkove ne znajući preuzimaju i instaliraju malver na svoje uređaje.

Broj naloga je napoznat ali istraživači kažu da je reč o više od 3.000 Ghost naloga, a možda čak i većem broju.

Prema izveštaju Check Pointa, Stargazers Ghost koristi identične tagove i slike, ali menja ciljnu publiku sa jedne aplikacije na društvenim mrežama ili krekovanog softvera na drugu, koristeći isti šablon, što ukazuje da automatizuje aktivnosti kako bi se osigurala efikasnost i skalabilnost.

Check Point je otkrio preko 2.200 repozitorijuma uključenih u aktivnosti „Ghosta“ tokom kampanje u januaru 2024. u kojoj je distribuiran malver Atlantida koji krade korisničke lozinke i novčanike kriptovaluta. Za četiri dana zaraženo je više od 1.300 žrtava.

Drugi malveri koji se šire na ovaj način su Rhadamanthys, RisePro, Lumma Stealer i RedLine.

Istraživači veruju da su linkovi ka GitHub repozitorijumima verovatno distribuirani preko Discord kanala, ciljajući pratioce na YouTubeu, TikToku, Twitchu i Instagramu i da sadrže phishing šablone za krekovan softver i aktivnosti vezane za kriptovalute.

Korisnici društvenih mreža, igara i kriptovaluta su ključne mete mreže za infekcije ransomwareom, krađu lozinki i kompromitovanje novčanika. Stargazers Ghost trenutno cilja korisnike Windowsa, ali slične metode mogu se korisitit i za korisnike Linuxa ili Androida.

Stargazers Ghost mreža je samo prošle godine zaradila više od 100.000 dolara, a istraživači veruju da je mreža aktivna od avgusta 2022. godiine u nekom obliku. Istraživači su oglas za nju primetili na mračnom vebu početkom jula prošle godine.

„Zabrinjavajuće je videti kako se velika platforma poput GitHuba eksploatiše za distribuciju malvera“, kažu istraživači Check Pointa. „Ovo precizno targetiranje moglo bi uticati na značajan broj žrtava širom sveta, što bi dovelo do teških posledica. Činjenica da smo takođe identifikovali sličnu kampanju na YouTubeu ukazuje na promenu u pristupu distribucije malvera kao usluge (DaaS), gde napadači koriste popularne platforme za prikriveno širenje infekcija.“

Budite oprezni sa nepoznatim repozitorijumima i linkovima. Istražite programera i projekat pre nego što bilo šta preuzmete i izbegavajte da otvarate linkove osim ako niste apsolutno sigurni.

Foto: Richy Great | Unsplash