Um ator de ameaças conhecido como Stargazer Goblin criou uma rede de contas inautênticas no GitHub para alimentar um serviço de Distribuição como Serviço (DaaS) que propaga uma variedade de malwares de roubo de informações, gerando um lucro ilícito de $100.000 no último ano.
A rede, que compreende mais de 3.000 contas na plataforma de hospedagem de código baseada em nuvem, abrange milhares de repositórios usados para compartilhar links maliciosos ou malware, segundo a Check Point, que a denominou "Rede Fantasma Stargazers".
Algumas das famílias de malware propagadas usando este método incluem Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine, com as contas falsas também envolvidas em dar estrelas, bifurcar, assistir e se inscrever em repositórios maliciosos para lhes dar uma aparência de legitimidade.
Acredita-se que a rede está ativa desde agosto de 2022 em alguma forma preliminar, embora um anúncio para o DaaS não tenha sido detectado na dark web até o início de julho de 2023.
"Atores de ameaças agora operam uma rede de contas 'Fantasma' que distribuem malware através de links maliciosos em seus repositórios e arquivos criptografados como releases," explicou o pesquisador de segurança Antonis Terefos em uma análise publicada na última semana.
Esta rede não só distribui malware, mas também realiza várias outras atividades que fazem estas contas 'Fantasma' parecerem usuários normais, emprestando uma falsa legitimidade às suas ações e aos repositórios associados.
Diferentes categorias de contas no GitHub são responsáveis por aspectos distintos do esquema na tentativa de tornar sua infraestrutura mais resistente aos esforços de remoção pelo GitHub quando payloads maliciosos são sinalizadas na plataforma.
Isso inclui contas que servem o template de repositório de phishing, contas que fornecem a imagem para o template de phishing e contas que empurram malware para os repositórios na forma de um arquivo protegido por senha disfarçado como software crackeado e cheats de jogos.
Caso o terceiro conjunto de contas seja detectado e banido pelo GitHub, o Stargazer Goblin move-se para atualizar o repositório de phishing da primeira conta com um novo link para um novo release malicioso ativo, permitindo assim que os operadores prossigam com mínima interrupção.
Além de curtir novos releases de múltiplos repositórios e cometer alterações nos arquivos README.md para modificar os links de download, há evidências que sugerem que algumas contas parte da rede foram previamente comprometidas, com as credenciais provavelmente obtidas via malware stealer.
"Na maioria das vezes, observamos que contas de Repository e Stargazer permanecem não afetadas por banimentos e remoções de repositório, enquanto contas de Commit e Release são tipicamente banidas uma vez que seus repositórios maliciosos são detectados," disse Terefos.
É comum encontrar Repositórios-Link contendo links para Repositórios-Release banidos. Quando isso ocorre, a conta Commit associada ao Repositório-Link atualiza o link malicioso com um novo.
Uma das campanhas descobertas pela Check Point envolve o uso de um link malicioso para um repositório no GitHub que, por sua vez, aponta para um script PHP hospedado em um site WordPress e entrega um arquivo de Aplicativo HTML (HTA) para, finalmente, executar o Atlantida Stealer por meio de um script PowerShell.
Outras famílias de malware propagadas via o DaaS são Lumma Stealer, RedLine Stealer, Rhadamanthys e RisePro.
A Check Point ainda observou que as contas no GitHub fazem parte de uma solução DaaS maior que opera contas fantasma semelhantes em outras plataformas como Discord, Facebook, Instagram, X e YouTube.
"Stargazer Goblin criou uma operação de distribuição de malware extremamente sofisticada que evita detecção, uma vez que o GitHub é considerado um site legítimo, burla suspeitas de atividades maliciosas e minimiza e recupera qualquer dano quando o GitHub interrompe sua rede," disse Terefos.
Utilizar múltiplas contas e perfis realizando diferentes atividades, desde dar estrelas até hospedar o repositório, cometer o template de phishing e hospedar releases maliciosos, permite que a Rede Fantasma Stargazers minimize suas perdas quando o GitHub toma qualquer ação para perturbar suas operações, pois geralmente apenas uma parte da operação inteira é interrompida, em vez de todas as contas envolvidas.
Este desenvolvimento ocorre enquanto atores de ameaças desconhecidos estão visando repositórios no GitHub, apagando seus conteúdos e pedindo às vítimas para entrar em contato com um usuário chamado Gitloker no Telegram como parte de uma nova operação de extorsão que está em andamento desde fevereiro de 2024.
O ataque de engenharia social visa desenvolvedores com e-mails de phishing enviados de "[email protected]," com o objetivo de enganá-los a clicar em links falsos sob o pretexto de uma oportunidade de emprego no GitHub, após o qual são solicitados a autorizar um novo aplicativo OAuth que apaga todos os repositórios e exige um pagamento em troca do restauramento do acesso.
Isso também segue um aviso da Truffle Security de que é possível acessar dados sensíveis de forks deletados, repositórios deletados e até repositórios privados no GitHub, instando organizações a tomarem medidas para se protegerem contra o que está chamando de vulnerabilidade de Cross Fork Object Reference (CFOR).
"Uma vulnerabilidade CFOR ocorre quando um fork de repositório pode acessar dados sensíveis de outro fork (incluindo dados de forks privados e deletados)," disse Joe Leon.
"Similar a uma Referência Direta a Objeto Inseguro, na CFOR usuários fornecem hashes de commit para acessar diretamente dados de commit que de outra forma não seriam visíveis para eles." Em outras palavras, um pedaço de código cometido em um repositório público pode ser acessível para sempre, desde que exista pelo menos um fork daquele repositório.
Além disso, isso também poderia ser usado para acessar código cometido entre o momento em que um fork interno é criado e o repositório se torna público.
Vale a pena notar, no entanto, que estas são decisões de design intencionais tomadas pelo GitHub, conforme observado pela própria empresa em sua documentação -
Commits em qualquer repositório em uma rede de forks podem ser acessados de qualquer repositório na mesma rede de forks, incluindo o repositório principal
Ao mudar um repositório privado para público, todos os commits nesse repositório, incluindo qualquer commit feito nos repositórios nos quais foi bifurcado, serão visíveis para todos.
"O usuário médio vê a separação de repositórios privados e públicos como uma fronteira de segurança e, compreensivelmente, acredita que qualquer dado localizado em um repositório privado não pode ser acessado por usuários públicos," disse Leon.
"Infelizmente, [...] isso nem sempre é verdade. Mais ainda, o ato de exclusão implica a destruição de dados. Como vimos acima, deletar um repositório ou fork não significa que seus dados de commit são de fato deletados," ele finaliza.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...