Uma rede secreta de cerca de 3.000 contas "fantasmas" no GitHub vem manipulando discretamente as páginas no site de hospedagem de código para promover malware e links de phishing.
Desde pelo menos junho do ano passado, pesquisadores da empresa de cibersegurança Check Point identificaram que um cibercriminoso, a quem apelidaram de “Stargazer Goblin”, vem hospedando repositórios de código malicioso na plataforma da Microsoft.
O GitHub é o maior site de código aberto do mundo, hospedando o trabalho de milhões de desenvolvedores.
Além de fazer upload de repositórios maliciosos, o Stargazer Goblin vem aumentando a visibilidade das páginas usando as próprias ferramentas comunitárias do GitHub.
Antonis Terefos, um engenheiro de reversão de malware da Check Point que descobriu o comportamento nefasto, diz que a persona por trás da rede usa suas contas falsas para "star", "fork" e "watch" as páginas maliciosas.
Essas ações — que são vagamente similares a curtir, compartilhar e se inscrever, respectivamente — ajudam a fazer com que as páginas pareçam populares e autênticas.
Quanto mais "stars", mais realista uma página parece.
"Os repositórios maliciosos pareciam realmente legítimos", diz Terefos.
"A maneira como ele desenvolveu isso é realmente inteligente, aproveitando como o GitHub opera", diz Terefos sobre a pessoa por trás da persona.
Embora cibercriminosos venham abusando do GitHub há anos, fazendo upload de código malicioso e adaptando repositórios legítimos, Terefos diz que não havia visto anteriormente uma rede de contas falsas operando dessa maneira na plataforma.
A compra e venda de repositórios e estrelas é coordenada em um canal do Telegram ligado a crimes cibernéticos e mercados criminais.
A Rede Fantasma de Stargazers, nomeada pela Check Point a partir de uma das primeiras contas que identificaram, tem espalhado repositórios maliciosos no GitHub que oferecem downloads de ferramentas para redes sociais, jogos e criptomoedas.
Por exemplo, páginas podem estar alegando fornecer código para executar uma VPN ou licenciar uma versão do Photoshop da Adobe.
Esses geralmente visam usuários do Windows, diz a pesquisa, e têm o objetivo de capitalizar em pessoas potencialmente procurando por software gratuito online.
O operador por trás da rede cobra de outros hackers para usar seus serviços, o que a Check Point chama de “distribuição como serviço”.
A rede prejudicial foi flagrada compartilhando vários tipos de ransomware e malware rouba-informações, diz a Check Point, incluindo o Atlantida Stealer, Rhadamanthys e o Lumma Stealer.
Terefos diz que descobriu a rede enquanto pesquisava instâncias do Atlantida Stealer.
O pesquisador diz que a rede pode ser maior do que ele espera, pois também viu contas legítimas do GitHub sendo tomadas usando detalhes de login roubados.
“Desativamos contas de usuário de acordo com as Políticas de Uso Aceitável do GitHub, que proíbem postar conteúdo que apoie diretamente ataques ativos ilegais ou campanhas de malware que estão causando danos técnicos”, diz Alexis Wales, vice-presidente de operações de segurança no GitHub.
Temos equipes dedicadas a detectar, analisar e remover conteúdo e contas que violam essas políticas.
O GitHub tem mais de 100 milhões de usuários que contribuíram com mais de 420 milhões de repositórios na plataforma.
Dada a amplitude da plataforma, não é surpreendente que cibercriminosos e hackers estejam tentando abusá-la.
Nos últimos anos, pesquisadores têm mapeado instâncias de estrelas falsas, identificando código perigoso escondido em projetos, enfrentando crescentes ataques à cadeia de fornecimento contra software de código aberto e vendo comentários sendo usados para espalhar malware.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...