Un attore di minacce noto come Stargazer Goblin ha creato una rete di account GitHub falsi per alimentare un servizio di distribuzione malware (Distribution-as-a-Service, DaaS), ottenendo profitti illeciti per $100,000 nell'ultimo anno. La rete, che comprende oltre 3,000 account sulla piattaforma di hosting di codice, si estende su migliaia di repository utilizzati per condividere link dannosi o malware. Alcune delle famiglie di malware propagate tramite questo metodo includono Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine. Gli account falsi sono anche impiegati per dare una parvenza di legittimità ai repository dannosi, partecipando ad attività come starring, forking, watching e subscribing.

La rete è attiva, in una forma preliminare, dall'agosto 2022, con un annuncio per il DaaS rilevato nel dark web all'inizio di luglio 2023. Secondo l'analisi del ricercatore di sicurezza Antonis Terefos, pubblicata la scorsa settimana, gli autori delle minacce operano una rete di account "fantasma" che distribuiscono malware tramite link dannosi nei loro repository e archivi criptati come release. Questi account non solo diffondono malware, ma partecipano anche a varie altre attività per far sembrare le loro azioni legittime.

Diversi tipi di account GitHub

Diversi tipi di account GitHub sono responsabili di aspetti distinti dello schema per rendere l'infrastruttura più resiliente agli sforzi di rimozione da parte di GitHub quando vengono segnalati payload dannosi. Questi includono account che servono modelli di repository di phishing, account che forniscono immagini per i modelli di phishing e account che caricano malware nei repository sotto forma di archivi protetti da password, mascherati come software craccati o cheat per giochi.

Nel caso in cui questi account vengano rilevati e bannati da GitHub, Stargazer Goblin aggiorna il repository di phishing del primo account con un nuovo link a una nuova release dannosa, permettendo agli operatori di continuare le loro attività con minime interruzioni. Oltre a mettere "like" alle nuove release di vari repository e a fare commit sui file README.md per modificare i link di download, ci sono prove che alcuni account della rete sono stati precedentemente compromessi, con le credenziali probabilmente ottenute tramite malware stealer.

Campagne di malware

Una delle campagne scoperte da Check Point coinvolge l'uso di un link dannoso a un repository GitHub che, a sua volta, punta a uno script PHP ospitato su un sito WordPress, che poi consegna un file HTA per eseguire Atlantida Stealer tramite uno script PowerShell. Altre famiglie di malware propagate tramite il DaaS includono Lumma Stealer, RedLine Stealer, Rhadamanthys e RisePro. Check Point ha inoltre osservato che gli account GitHub sono parte di una soluzione DaaS più ampia che opera account "fantasma" simili su altre piattaforme come Discord, Facebook, Instagram, X e YouTube.

"Stargazer Goblin ha creato un'operazione di distribuzione di malware estremamente sofisticata che evita il rilevamento poiché GitHub è considerato un sito web legittimo, aggira i sospetti di attività dannose e minimizza e recupera eventuali danni quando GitHub interrompe la loro rete", ha dichiarato Terefos.