يقوم “Stargazer Goblin” بإنشاء 3000 حساب مزيف على GitHub لنشر البرامج الضارة

أنشأ ممثل التهديد المعروف باسم Stargazer Goblin شبكة من حسابات GitHub غير الأصلية لدعم التوزيع كخدمة (DaaS) الذي ينشر مجموعة متنوعة من البرامج الضارة لسرقة المعلومات ويحقق لهم أرباحًا غير مشروعة بقيمة 100000 دولار على مدار العام الماضي.

تمتد الشبكة، التي تضم أكثر من 3000 حساب على منصة استضافة التعليمات البرمجية المستندة إلى السحابة، على آلاف المستودعات التي تُستخدم لمشاركة الروابط الضارة أو البرامج الضارة، وفقًا لـ Check Point، التي أطلقت عليها اسم “Stargazers Ghost Network”.

تشمل بعض عائلات البرامج الضارة التي تم نشرها باستخدام هذه الطريقة Atlantida Stealer، وRadamanthys، وRisePro، وLumma Stealer، وRedLine، مع مشاركة الحسابات الزائفة أيضًا في بطولة المستودعات الضارة وتفرعها ومشاهدتها والاشتراك فيها لمنحها مظهرًا من الشرعية.

ويُعتقد أن الشبكة كانت نشطة منذ أغسطس 2022 في بعض الأشكال الأولية، على الرغم من أنه لم يتم رصد إعلان لـ DaaS في الظلام حتى أوائل يوليو 2023.

وقال الباحث الأمني ​​أنتونيس تيريفوس: “تدير الجهات الفاعلة في مجال التهديد الآن شبكة من حسابات “الشبح” التي توزع البرامج الضارة عبر روابط ضارة على مستودعاتها وأرشيفاتها المشفرة كإصدارات”. شرح في تحليل نشر الأسبوع الماضي.

“لا تقوم هذه الشبكة بتوزيع البرامج الضارة فحسب، بل توفر أيضًا العديد من الأنشطة الأخرى التي تجعل حسابات “الشبح” هذه تظهر كمستخدمين عاديين، مما يضفي شرعية زائفة على أفعالهم والمستودعات المرتبطة بها.”

تعد الفئات المختلفة لحسابات GitHub مسؤولة عن جوانب مختلفة من المخطط في محاولة لجعل بنيتها التحتية أكثر مرونة في مواجهة جهود الإزالة التي يقوم بها GitHub عندما يتم وضع علامة على حمولات ضارة على النظام الأساسي.

يتضمن ذلك الحسابات التي تخدم قالب مستودع التصيد الاحتيالي، والحسابات التي توفر صورة قالب التصيد الاحتيالي، والحسابات التي تدفع البرامج الضارة إلى المستودعات في شكل أرشيف محمي بكلمة مرور يتنكر في شكل برامج خادعة وغش في الألعاب.

في حالة اكتشاف المجموعة الثالثة من الحسابات وحظرها بواسطة GitHub، يتحرك Stargazer Goblin لتحديث مستودع التصيد الاحتيالي للحساب الأول برابط جديد لإصدار ضار نشط جديد، مما يسمح للمشغلين بالمضي قدمًا بأقل قدر من التعطيل.

إلى جانب الإعجاب بالإصدارات الجديدة من مستودعات متعددة والالتزام بإجراء تغييرات على ملفات README.md لتعديل روابط التنزيل، هناك أدلة تشير إلى أن بعض الحسابات التي تشكل جزءًا من الشبكة قد تم اختراقها مسبقًا، ومن المحتمل أن يتم الحصول على بيانات الاعتماد عبر برامج ضارة سرقة.

وقال Terefos: “في معظم الأوقات، نلاحظ أن حسابات Repository وStargazer تظل غير متأثرة بالحظر وعمليات إزالة المستودعات، في حين يتم عادةً حظر حسابات Commit وRelease بمجرد اكتشاف مستودعاتها الضارة”.

“من الشائع العثور على مستودعات الارتباط التي تحتوي على روابط لمستودعات الإصدار المحظورة. وعندما يحدث ذلك، يقوم حساب الالتزام المرتبط بمستودع الارتباط بتحديث الارتباط الضار برابط جديد.”

تتضمن إحدى الحملات التي اكتشفتها Check Point استخدام رابط ضار إلى مستودع GitHub والذي يشير بدوره إلى برنامج نصي PHP مستضاف على موقع WordPress ويقدم ملف تطبيق HTML (HTA) لتنفيذ Atlantida Stealer في النهاية عن طريق الوسائل. من البرنامج النصي PowerShell.

عائلات البرامج الضارة الأخرى التي يتم نشرها عبر DaaS هي Lumma Stealer وRedLine Stealer وRadamanthys وRisePro. لاحظت Check Point أيضًا أن حسابات GitHub هي جزء من حل DaaS أكبر يقوم بتشغيل حسابات شبح مماثلة على منصات أخرى مثل Discord وFacebook وInstagram وX وYouTube.

وقال Terefos: “أنشأ Stargazer Goblin عملية توزيع برامج ضارة معقدة للغاية تتجنب اكتشافها نظرًا لأن GitHub يعتبر موقعًا شرعيًا، ويتجاوز الشكوك حول الأنشطة الضارة، ويقلل ويستعيد أي ضرر عندما يعطل GitHub شبكتهم”.

“إن استخدام حسابات وملفات تعريف متعددة تؤدي أنشطة مختلفة بدءًا من بطولة المستودع وحتى استضافة المستودع، وارتكاب قالب التصيد الاحتيالي، واستضافة الإصدارات الضارة، يمكّن شبكة Stargazers Ghost Network من تقليل خسائرها عندما ينفذ GitHub أي إجراءات لتعطيل عملياتها حيث عادةً ما يكون ذلك جزءًا واحدًا فقط من تم تعطيل العملية برمتها بدلاً من جميع الحسابات المعنية.”

ويأتي هذا التطور في ظل وجود جهات تهديد غير معروفة الاستهداف مستودعات GitHub، ومسح محتوياتها، ومطالبة الضحايا بالتواصل مع مستخدم يُدعى Gitloker على Telegram كجزء من عملية ابتزاز جديدة مستمرة منذ فبراير 2024.

يستهدف هجوم الهندسة الاجتماعية المطورين من خلال رسائل البريد الإلكتروني التصيدية المرسلة من “notifications@github.com”، بهدف خداعهم للنقر على روابط زائفة تحت ستار فرصة عمل في GitHub، وبعد ذلك يُطلب منهم ترخيص تطبيق OAuth جديد يمحو جميع المستودعات ويطالب بالدفع مقابل استعادة الوصول.

كما أنه يتبع أيضًا نصيحة من Truffle Security بأنه من الممكن الوصول إلى البيانات الحساسة من الشوكات المحذوفة، والمستودعات المحذوفة، وحتى المستودعات الخاصة على GitHub، مما يحث المؤسسات على اتخاذ خطوات للتأمين ضد ما يطلق عليه ثغرة Cross Fork Object Reference (CFOR).

“تحدث ثغرة CFOR عندما يتمكن أحد تفرعات المستودع من الوصول إلى البيانات الحساسة من تفرع آخر (بما في ذلك البيانات من تشعبات خاصة ومحذوفة)،” جو ليون قال. “على غرار مرجع الكائن المباشر غير الآمن، يقوم مستخدمو CFOR بتوفير تجزئات الالتزام للوصول مباشرة إلى بيانات الالتزام التي لن تكون مرئية لهم.”

بمعنى آخر، قد يكون من الممكن الوصول إلى جزء من التعليمات البرمجية المخصصة لمستودع عام إلى الأبد طالما كان هناك تشعب واحد على الأقل لذلك المستودع. علاوة على ذلك، يمكن استخدامه أيضًا للوصول إلى التعليمات البرمجية التي تم الالتزام بها بين وقت إنشاء الانقسام الداخلي وجعل المستودع عامًا.

ومع ذلك، تجدر الإشارة إلى أن هذه هي قرارات التصميم المتعمدة التي اتخذتها GitHub ذُكر بواسطة شركة في وثائقها الخاصة –

• يمكن الوصول إلى الالتزامات بأي مستودع في شبكة مفترق من أي مستودع في نفس شبكة مفترق الطرق، بما في ذلك المستودع الرئيسي
• عندما تقوم بتغيير مستودع خاص إلى عام، فإن جميع الالتزامات الموجودة في هذا المستودع، بما في ذلك أي التزامات تم إجراؤها في المستودعات التي تم تفرعها إليها، ستكون مرئية للجميع.

وقال ليون: “ينظر المستخدم العادي إلى الفصل بين المستودعات الخاصة والعامة كحدود أمنية، ويعتقد بشكل مفهوم أن أي بيانات موجودة في مستودع خاص لا يمكن للمستخدمين العامين الوصول إليها”.

“للأسف، […] هذا ليس صحيحا دائما. علاوة على ذلك، فإن عملية الحذف تعني تدمير البيانات. وكما رأينا أعلاه، فإن حذف مستودع أو تفرع لا يعني حذف بيانات الالتزام الخاصة بك بالفعل.”