GitHub, największa na świecie platforma programistyczna, stała się celem wyrafinowanej grupy cyberprzestępców, którzy wykorzystują ją do dystrybuowanaia złośliwego oprogramowania i phishingu. Odkrycia dokonali badacze z firmy Check Point, którzy natrafili na tajną sieć około 3000 fałszywych kont, nazwanych „duchami”. Te konta cicho manipulują stronami GitHuba, aby wyglądały na popularne i godne zaufania.
Na skróty:
Kim jest „Stargazer Goblin”?
Osoba stojąca za tą siecią, nazwana przez badaczy „Stargazer Goblin”, od co najmniej czerwca 2023 roku aktywnie udostępnia złośliwe repozytoria na platformie należącej do Microsoftu. GitHub, który jest domem dla milionów programistów, stał się areną dla działań tego cyberprzestępcy. „Stargazer Goblin” nie tylko przesyła szkodliwy kod, ale także manipuluję stronami, korzystając z funkcji społeczności GitHub, takich jak „oznaczanie gwiazdką”, „forkowanie” i „obserwowanie”.
Sieć fałszywych kont sprawia, że złośliwe repozytoria wyglądają na popularne i autentyczne. „Sposób, w jaki to opracował, jest naprawdę sprytny i wykorzystuje zasady działania GitHub” – mówi Antonis Terefos, ekspert ds. bezpieczeństwa oprogramowania w Check Point Software. Działania te są analogiczne do polubień, udostępnień i subskrypcji, co pomaga podnosić widoczność i wiarygodność szkodliwych stron.
Cyberprzestępczość jako usługa
Co ciekawe, sieć „Stargazers Ghost Network” oferuje swoje usługi innym hakerom na zasadzie „dystrybucji jako usługi”. Operator sieci pobiera opłaty za korzystanie z ich infrastruktury, co pozwala innym cyberprzestępcom na rozpowszechnianie różnego rodzaju złośliwego oprogramowania, w tym ransomware i programów kradnących informacje, takich jak Atlantida Stealer, Rhadamanthys i Lumma Stealer.
Walka z cyberprzestępczością na GitHubie
GitHub, mający ponad 100 milionów użytkowników i 420 milionów repozytoriów, jest na bieżąco z zagrożeniami. „Wyłączyliśmy konta użytkowników zgodnie z Zasadami dopuszczalnego użytkowania GitHuba” – mówi Alexis Wales, wiceprezes ds. operacji bezpieczeństwa w GitHub. Zespoły ds. bezpieczeństwa aktywnie wykrywają, analizują i usuwają treści oraz konta naruszające zasady platformy.
Niemniej, w ostatnich latach GitHub stał się miejscem nie tylko dla innowacji, ale także dla wyrafinowanych ataków. Badacze nieustannie pracują nad mapowaniem przypadków fałszywych gwiazdek, wykrywaniem niebezpiecznego kodu ukrytego w projektach oraz stawianiem czoła rosnącym atakom na łańcuch dostaw oprogramowania typu open source. Manipulacje w komentarzach i inne zaawansowane techniki rozprzestrzeniania złośliwego oprogramowania pokazują, jak dynamicznie zmienia się krajobraz zagrożeń w świecie kodu open source.
Walka z cyberprzestępczością wymaga ciągłej czujności i innowacyjności. W miarę jak cyberprzestępcy rozwijają swoje techniki, platformy takie jak GitHub muszą stale dostosowywać swoje strategie obronne, aby chronić społeczność programistów na całym świecie
