GitHub, wiodąca platforma do hostowania kodu i współpracy programistów, jest wykorzystywana przez grupy cyberprzestępców do masowego rozprzestrzeniania złośliwego oprogramowania za pośrednictwem fałszywych kont. Niedawne dochodzenia wykazały, że na platformie działają tysiące fałszywych kont, które rozpowszechniają złośliwe oprogramowanie, oszukując użytkowników za pośrednictwem pozornie legalnych repozytoriów.
Grupa stojąca za tą operacją, zwana Goblin obserwator gwiazd, opracował zaawansowaną sieć dystrybucji złośliwego oprogramowania, wykorzystując zaufanie, jakim programiści darzą serwis GitHub. System ten umożliwia atakującym generowanie znacznych przychodów za pomocą dobrze opracowanej strategii, która utrudnia ich wykrycie i wyeliminowanie.
Jak działają konta widmo w serwisie GitHub
Główny problem polega na istnieniu fałszywych kont w serwisie GitHub, których jedynym celem jest rozpowszechnianie złośliwego oprogramowania przy użyciu funkcji systemu, takich jak możliwość forkowania repozytoriów i przyznawania gwiazdek. Konta te pełnią różne funkcje w sieci cyberprzestępczej:
- Repozytoria phishingu: Zawierają one przyciągające wzrok opisy, które mają nakłonić użytkowników do pobrania złośliwych plików.
- Konta przyznające gwiazdki: zwiększyć widoczność i wiarygodność repozytoriów złośliwego oprogramowania.
- Złośliwe linki w plikach README.md: może doprowadzić do pobrania zainfekowanego oprogramowania, które wydaje się legalne.
- Automatyzacja działań: Napastnicy używają botów do tworzenia i śledzenia zainfekowanych repozytoriów.
Strategia ta pozwala na skuteczną dystrybucję złośliwego oprogramowania bez wzbudzania natychmiastowych podejrzeń.
Warianty złośliwego oprogramowania rozprzestrzeniają się za pośrednictwem GitHub
Badacze zidentyfikowali wiele rodzin złośliwego oprogramowania, które były rozpowszechniane za pośrednictwem tej sieci kont-widm, w tym:
- Złodziej Atlantydy: kradnie dane uwierzytelniające użytkowników i dane dotyczące kryptowalut.
- Radamantys: zaprojektowane w celu kradzieży informacji bankowych.
- Złodziej Lummy: specjalizuje się w zdobywaniu danych prywatnych.
- Czerwona linia: jeden z najpopularniejszych trojanów kradnących informacje.
Konta złośliwe również wykorzystują repozytoria do hostowania skompresowanych plików hasło chronioneco utrudnia rozwiązaniom cyberbezpieczeństwa ich wykrycie.
Jak cyberprzestępcy unikają wykrycia dzięki kontom widmo w serwisie Github
Aby sieć złośliwego oprogramowania pozostała aktywna, mimo wysiłków GitHub mających na celu usunięcie fałszywych kont, atakujący stosują kilka taktyk:
- Szybkie przekierowanie linku: Kiedy GitHub usuwa złośliwe repozytorium, przestępcy aktualizują linki w innych repozytoriach, aby utrzymać dystrybucję.
- Korzystanie z wielu kont: Każde fałszywe konto pełni określoną funkcję w sieci, np. weryfikację repozytoriów lub publikowanie podejrzanych linków.
- Dystrybucja poprzez sieci społecznościowe i fora: Wykryto kampanie na Discordzie i innych kanałach, na których udostępniane są linki do tych złośliwych repozytoriów.
Ostatnie przypadki i rosnące zagrożenie
Według Check Point Research, w samym styczniu 2024 r. sieć Stargazers Ghost zainfekowała ponad Użytkownicy 1.300 ze złośliwym oprogramowaniem w ciągu zaledwie czterech dni. Ponadto oszustwa związane z GitHubem są aktywne co najmniej od 2022 r., a trwały wzrost w ostatnich latach.
Grupa wygenerowała ponad Dolarów 100.000 dzięki sprzedaży dostępu do sieci kont widmo i oferowaniu usług takich jak manipulacja gwiazdami i rozwidlenia repozytorium.
Oszustwo z fałszywą ofertą pracy na GitHub
Inną metodą wykorzystywaną przez cyberprzestępców do infekowania komputerów jest oszukiwanie programistów za pomocą fałszywe oferty pracy. Podczas tego typu oszustw atakujący kontaktują się z programistami i proszą ich o pobranie prywatnego repozytorium w ramach testu technicznego. Jednak kod zawiera złośliwe oprogramowanie, które może zainfekować urządzenia ofiar.
Ofiary, wierząc, że mają dostęp do legalnej oferty pracy, nieświadomie podejmują działania złośliwe oprogramowanie który kradnie Twoje dane uwierzytelniające, a nawet umożliwia zdalny dostęp do Twojego komputera.
Zalecenia dotyczące zachowania ochrony
Biorąc pod uwagę rozprzestrzenianie się tych zagrożeń, niezwykle istotne jest, aby programiści i użytkownicy serwisu GitHub podejmowali następujące środki bezpieczeństwa:
- Zweryfikuj autentyczność repozytoriów: sprawdź reputację twórcy i jego wcześniejszą aktywność w serwisie GitHub.
- Unikaj pobierania plików z nieznanych źródeł: zwłaszcza jeśli są szyfrowane lub chronione hasłem.
- Nie uruchamiaj kodu bez jego wcześniejszego przejrzenia: W razie wątpliwości należy uruchomić system w odizolowanym środowisku, np. na maszynie wirtualnej.
- Zwróć uwagę na oferty pracy, które są zbyt atrakcyjne: Unikaj pobierania kodu z prywatnych repozytoriów bez dodatkowej weryfikacji. Zachowaj ostrożność w przypadku podejrzanych ofert pracy.
Platformy takie jak GitHub okazały się podstawowymi narzędziami do tworzenia oprogramowania, ale mogą również stać się wektory ataku jeśli nie zostaną podjęte odpowiednie środki ostrożności. Wyrafinowanie taktyk stosowanych przez cyberprzestępców pokazuje, znaczenie cyberbezpieczeństwa w środowiskach programistycznych opartych na współpracy. Udostępnij tę wiadomość, aby więcej użytkowników dowiedziało się o niebezpieczeństwie..