GitHub at ang mga ghost account na nagkakalat ng malware

  • Libu-libong ghost account sa GitHub ang namamahagi ng malware sa pamamagitan ng mga malisyosong repositoryo.
  • Ang grupong Stargazer Goblin ay nakabuo ng mahigit $100.000 mula sa distribution network na ito.
  • Gumagamit ang mga cybercriminal ng mga scam sa trabaho at mga advanced na diskarte upang maiwasan ang pagtuklas.
  • Mahalagang i-verify ang mga repositoryo at iwasan ang pag-download ng hindi kilalang code nang hindi ito sinusuri.
Joaquin Romero

5 Minutos

Matuto tungkol sa mga ghost account sa GitHub

Ang GitHub, ang nangungunang platform para sa pagho-host ng code at pakikipagtulungan ng developer, ay ginagamit ng mga cybercriminal na grupo upang malawakang maikalat ang malware sa pamamagitan ng mga ghost account. Ang mga kamakailang pagsisiyasat ay nagsiwalat na libu-libong mga phantom account ang nagpapatakbo sa platform upang ipamahagi ang malware, nanlinlang sa mga user sa pamamagitan ng tila mga lehitimong repositoryo.

Ang grupo sa likod ng operasyong ito, ang tumawag Stargazer Goblin, ay bumuo ng isang sopistikadong network ng pamamahagi ng malware sa pamamagitan ng pagsasamantala sa tiwala na ibinibigay ng mga developer sa GitHub. Ang sistemang ito ay nagbigay-daan sa mga umaatake na makabuo ng malaking kita sa pamamagitan ng isang mahusay na istrukturang diskarte na nagpapahirap sa pagtukoy at pagtanggal.

Paano gumagana ang mga ghost account sa GitHub

Ang pangunahing problema ay nakasalalay sa pagkakaroon ng mga pekeng account sa GitHub na ang tanging layunin ay mamahagi ng malware sa pamamagitan ng pagsasamantala sa mga feature ng system, tulad ng kakayahang mag-fork ng mga repositoryo at magbigay ng mga bituin. Ang mga account na ito ay gumaganap ng iba't ibang mga function sa loob ng cybercriminal network:

Paghahambing sa pagitan ng Qodo GitHub Copilot at Codeium
Kaugnay na artikulo:
Paghahambing sa pagitan ng Codeium, GitHub Copilot at Qodo
  • Mga repositoryo ng phishing: Nilikha ang mga ito na may mga kapansin-pansing paglalarawan upang akitin ang mga user na mag-download ng mga nakakahamak na file.
  • Mga account na nagbibigay ng mga bituin: pataasin ang visibility at kredibilidad ng mga malisyosong repository.
  • Mga nakakahamak na link sa README.md file: humantong sa pag-download ng nakompromisong software na mukhang lehitimo.
  • Automation ng mga aktibidad: Gumagamit ang mga attacker ng mga bot upang i-fork at subaybayan ang mga nahawaang repositoryo.

Ang diskarte na ito ay nagbibigay-daan sa malware na maipamahagi nang mabisa nang hindi nagtataas ng agarang hinala.

Ganito gumagana ang mga ghost account sa GitHub

Ang mga variant ng malware ay kumakalat sa pamamagitan ng GitHub

Natukoy ng mga mananaliksik ang maraming pamilya ng malware na ipinamahagi sa pamamagitan ng network ng mga ghost account na ito, kabilang ang:

  • Atlantida Stealer: nagnanakaw ng mga kredensyal ng user at data ng cryptocurrency.
  • Rhadamanthys: idinisenyo upang magnakaw ng impormasyon sa pagbabangko.
  • Lumma Stealer: dalubhasa sa pagkuha ng pribadong data.
  • RedLine: isa sa pinakamalawak na ginagamit na mga Trojan na nagnanakaw ng impormasyon.

Gumagamit din ang mga nakakahamak na account mga repository upang mag-host ng mga naka-compress na file protektado ng password, na nagpapahirap sa mga solusyon sa cybersecurity na makita ang mga ito.

Paano maiiwasan ng mga cybercriminal ang pagtuklas gamit ang mga ghost account sa Github

Upang panatilihing aktibo ang malware network sa kabila ng pagsisikap ng GitHub na alisin ang mga mapanlinlang na account, gumagamit ang mga umaatake ng ilang taktika:

  • Mabilis na pag-redirect ng link: Kapag inalis ng GitHub ang isang malisyosong repositoryo, ina-update ng mga kriminal ang mga link sa kanilang iba pang mga repositoryo upang mapanatili ang pamamahagi.
  • Paggamit ng maraming account: Ang bawat pekeng account ay may partikular na function sa loob ng network, tulad ng pagpapatunay ng mga repositoryo o pag-post ng mga nakompromisong link.
  • Pamamahagi sa pamamagitan ng mga social network at forum: Natukoy ang mga kampanya sa Discord at iba pang mga channel kung saan ibinabahagi ang mga link sa mga nakakahamak na repositoryo na ito.

Mga kamakailang kaso at lumalaking banta

Ayon sa Check Point Research, noong Enero 2024 lamang, ang network ng Stargazers Ghost ay nahawaan ng higit sa Mga gumagamit ng 1.300 na may malware sa loob lamang ng apat na araw. Bukod pa rito, naging aktibo ang mga scam na nauugnay sa GitHub mula noong hindi bababa sa 2022, na may a patuloy na paglago sa mga nakaraang taon.

Ang grupo ay nakabuo ng higit sa US dollar 100.000 salamat sa pagbebenta ng access sa network ng mga ghost account nito at ang pag-aalok ng mga serbisyo tulad ng pagmamanipula ng bituin at mga tinidor ng imbakan.

Ang GitHub Fake Job Offer Scam

Ang isa pang paraan na ginagamit ng mga cybercriminal upang makahawa sa mga computer ay upang linlangin ang mga developer sa pamamagitan ng pekeng alok ng trabaho. Sa mga scam na ito, nakikipag-ugnayan ang mga umaatake sa mga programmer at hinihiling sa kanila na mag-download ng pribadong repositoryo bilang bahagi ng isang teknikal na pagsubok. Gayunpaman, naglalaman ang code ng malware na nakompromiso ang mga device ng mga biktima.

microsoft
Kaugnay na artikulo:
Bumili ang Microsoft ng GitHub, deal na inihayag ngayon

Ang mga biktima, sa paniniwalang nakaka-access sila ng isang lehitimong oportunidad sa trabaho, ay hindi nila namamalayan nakakahamak na software na nagnanakaw ng iyong mga kredensyal o kahit na nagbibigay-daan sa malayuang pag-access sa iyong mga computer.

Mga rekomendasyon para manatiling protektado

Dahil sa paglaganap ng mga banta na ito, mahalagang gumawa ng mga hakbang sa seguridad ang mga developer at user ng GitHub:

  • I-verify ang pagiging tunay ng mga repositoryo: suriin ang reputasyon ng lumikha at nakaraang aktibidad sa GitHub.
  • Iwasan ang pag-download ng mga file mula sa hindi kilalang mga mapagkukunan: lalo na kung sila ay naka-encrypt o protektado ng password.
  • Huwag patakbuhin ang code nang hindi muna ito sinusuri: Kapag may pagdududa, tumakbo sa isang nakahiwalay na kapaligiran tulad ng isang virtual machine.
  • Bigyang-pansin ang mga alok sa trabaho na masyadong kaakit-akit: Iwasan ang pag-download ng code mula sa mga pribadong repository nang walang karagdagang pag-verify. Mag-ingat sa mga kahina-hinalang alok sa trabaho.
Kaugnay na artikulo:
GitHub: Paano makahanap at mag-install ng mga plugin para sa Firefox mula doon

Ang mga platform tulad ng GitHub ay napatunayang pangunahing mga tool para sa pagbuo ng software, ngunit maaari rin silang maging mga vector ng pag-atake kung ang naaangkop na pag-iingat ay hindi ginawa. Ang pagiging sopistikado ng mga taktika na ginagamit ng mga cybercriminal ay nagpapakita ng kahalagahan ng cybersecurity sa collaborative development environment. Ibahagi ang balitang ito para mas maraming user ang makaalam tungkol sa panganib..


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.