Um agente de ameaças conhecido como Stargazer Goblin criou uma rede de contas não autênticas do GitHub para alimentar uma distribuição como serviço (DaaS) que propaga uma variedade de malware que rouba informações e rendeu US$ 100.000 em lucros ilícitos no ano passado.
A rede, que compreende mais de 3.000 contas na plataforma de hospedagem de código baseada em nuvem, abrange milhares de repositórios que são usados para compartilhar hyperlinks maliciosos ou malware, de acordo com a Examine Level, que a apelidou de “Stargazers Ghost Community”.
Algumas das famílias de malware propagadas usando esse método incluem Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine, com as contas falsas também envolvidas em estrelar, bifurcar, monitorar e assinar repositórios maliciosos para dar a elas uma aparência de legitimidade.
Acredita-se que a rede esteja ativa desde agosto de 2022 em alguma forma preliminar, embora um anúncio do DaaS não tenha sido visto no escuro até o início de julho de 2023.
“Os agentes de ameaças agora operam uma rede de contas 'fantasmas' que distribuem malware por meio de hyperlinks maliciosos em seus repositórios e arquivos criptografados conforme são liberados”, explicou o pesquisador de segurança Antonis Terefos em uma análise publicada na semana passada.
“Essa rede não apenas distribui malware, mas também fornece várias outras atividades que fazem essas contas 'fantasmas' parecerem usuários normais, emprestando falsa legitimidade às suas ações e aos repositórios associados.”
Diferentes categorias de contas do GitHub são responsáveis por aspectos distintos do esquema, em uma tentativa de tornar sua infraestrutura mais resiliente aos esforços de remoção do GitHub quando cargas maliciosas são sinalizadas na plataforma.
Isso inclui contas que servem o modelo de repositório de phishing, contas que fornecem a imagem para o modelo de phishing e contas que enviam malware para os repositórios na forma de um arquivo protegido por senha disfarçado de software program crackeado e truques de jogos.
Caso o terceiro conjunto de contas seja detectado e banido pelo GitHub, o Stargazer Goblin atualizará o repositório de phishing da primeira conta com um novo hyperlink para uma nova versão maliciosa ativa, permitindo assim que os operadores avancem com o mínimo de interrupção.
Além de curtir novos lançamentos de vários repositórios e fazer alterações nos arquivos README.md para modificar os hyperlinks de obtain, há evidências que sugerem que algumas contas que fazem parte da rede foram comprometidas anteriormente, com credenciais provavelmente obtidas por meio de malware ladrão.
“Na maioria das vezes, observamos que as contas do Repositório e do Stargazer não são afetadas por banimentos e remoções de repositórios, enquanto as contas do Commit e do Launch geralmente são banidas quando seus repositórios maliciosos são detectados”, disse Terefos.
“É comum encontrar Hyperlink-Repositories contendo hyperlinks para Launch-Repositories banidos. Quando isso ocorre, a conta Commit associada ao Hyperlink-Repository atualiza o hyperlink malicioso com um novo.”
Uma das campanhas descobertas pela Examine Level envolve o uso de um hyperlink malicioso para um repositório do GitHub que, por sua vez, aponta para um script PHP hospedado em um website WordPress e entrega um arquivo de aplicativo HTML (HTA) para executar o Atlantida Stealer por meio de um script do PowerShell.
Outras famílias de malware propagadas through DaaS são Lumma Stealer, RedLine Stealer, Rhadamanthys e RisePro. A Examine Level observou ainda que as contas do GitHub são parte de uma solução DaaS maior que opera contas fantasmas semelhantes em outras plataformas, como Discord, Fb, Instagram, X e YouTube.
“O Stargazer Goblin criou uma operação de distribuição de malware extremamente sofisticada que evita a detecção, já que o GitHub é considerado um website legítimo, ignora suspeitas de atividades maliciosas e minimiza e recupera qualquer dano quando o GitHub interrompe sua rede”, disse Terefos.
“Utilizar várias contas e perfis executando diferentes atividades, desde iniciar até hospedar o repositório, confirmar o modelo de phishing e hospedar lançamentos maliciosos, permite que a Stargazers Ghost Community decrease suas perdas quando o GitHub executa qualquer ação para perturbar suas operações, já que normalmente apenas uma parte de toda a operação é interrompida, em vez de todas as contas envolvidas.”
O desenvolvimento ocorre no momento em que agentes de ameaças desconhecidos estão mirando repositórios do GitHub, limpando seus conteúdos e pedindo às vítimas que entrem em contato com um usuário chamado Gitloker no Telegram como parte de uma nova operação de extorsão que está em andamento desde fevereiro de 2024.
O ataque de engenharia social tem como alvo desenvolvedores com e-mails de phishing enviados de “notifications@github.com”, com o objetivo de induzi-los a clicar em hyperlinks falsos sob o pretexto de uma oportunidade de emprego no GitHub, após o que eles são solicitados a autorizar um novo aplicativo OAuth que apaga todos os repositórios e exige um pagamento em troca da restauração do acesso.
Isso também segue um aviso da Truffle Safety de que é possível acessar dados confidenciais de forks excluídos, repositórios excluídos e até mesmo repositórios privados no GitHub, pedindo que as organizações tomem medidas para se protegerem contra o que está sendo chamado de vulnerabilidade Cross Fork Object Reference (CFOR).
“Uma vulnerabilidade CFOR ocorre quando um fork de repositório pode acessar dados sensíveis de outro fork (incluindo dados de forks privados e excluídos)”, disse Joe Leon. “Semelhante a uma Insecure Direct Object Reference, no CFOR os usuários fornecem hashes de commit para acessar diretamente os dados de commit que, de outra forma, não seriam visíveis para eles.”
Em outras palavras, um pedaço de código comprometido com um repositório público pode ser acessível para sempre, desde que exista pelo menos um fork daquele repositório. Além disso, ele também pode ser usado para acessar código comprometido entre o momento em que um fork interno é criado e o repositório se torna público.
No entanto, vale a pena notar que essas são decisões de design intencionais tomadas pelo GitHub, conforme observado pela empresa em sua própria documentação –
- Os commits para qualquer repositório em uma rede fork podem ser acessados de qualquer repositório na mesma rede fork, incluindo o repositório upstream
- Quando você altera um repositório privado para público, todos os commits naquele repositório, incluindo quaisquer commits feitos nos repositórios nos quais ele foi bifurcado, ficarão visíveis para todos.
“O usuário médio vê a separação de repositórios públicos e privados como um limite de segurança e, compreensivelmente, acredita que quaisquer dados localizados em um repositório privado não podem ser acessados por usuários públicos”, disse Leon.
“Infelizmente, (…) isso nem sempre é verdade. Além disso, o ato de deletar implica na destruição de dados. Como vimos acima, deletar um repositório ou fork não significa que seus dados de commit sejam realmente deletados.”
