GitHub, vodeću platformu za hosting koda i saradnju programera, koriste kibernetičke kriminalne grupe za masovno širenje zlonamjernog softvera putem naloga duhova. Nedavne istrage su otkrile da hiljade fantomskih naloga rade na platformi za distribuciju zlonamjernog softvera, obmanjujući korisnike putem naizgled legitimnih spremišta.
Grupa koja stoji iza ove operacije, zvala Stargazer Goblin, je razvio sofisticiranu mrežu distribucije zlonamjernog softvera koristeći prednost povjerenja koje programeri polažu u GitHub. Ovaj sistem je omogućio napadačima da ostvare značajan prihod kroz dobro strukturiranu strategiju koja otežava otkrivanje i eliminaciju.
Kako ghost nalozi rade na GitHubu
Glavni problem leži u postojanju lažnih naloga na GitHubu čija je jedina svrha da distribuiraju zlonamjerni softver koristeći prednosti sistemskih karakteristika, kao što su mogućnost fork repozitorija i dodjeljivanje zvijezda. Ovi nalozi obavljaju različite funkcije unutar mreže cyber kriminalaca:
- Spremišta za krađu identiteta: Kreirani su sa privlačnim opisima kako bi privukli korisnike da preuzmu zlonamjerne datoteke.
- Računi koji dodjeljuju zvijezde: povećati vidljivost i kredibilitet zlonamjernih spremišta.
- Zlonamjerni linkovi u README.md fajlovima: dovesti do preuzimanja kompromitovanog softvera koji se čini legitimnim.
- Automatizacija aktivnosti: Napadači koriste botove za račvanje i praćenje zaraženih spremišta.
Ova strategija omogućava da se zlonamjerni softver efikasno distribuira bez izazivanja trenutne sumnje.
Varijante zlonamjernog softvera se šire putem GitHuba
Istraživači su identifikovali više porodica zlonamjernog softvera koji su distribuirani putem ove mreže naloga duhova, uključujući:
- Atlantida Stealer: krade korisničke vjerodajnice i podatke o kriptovalutama.
- Radamanthys: dizajniran za krađu bankarskih informacija.
- Lumma Stealer: specijalizovana za dobijanje privatnih podataka.
- crvena linija: jedan od najčešće korištenih trojanaca za krađu informacija.
Zlonamjerni računi također koriste spremišta za hostovanje komprimiranih datoteka zaštićena lozinkom, što otežava rješenjima za kibernetičku sigurnost da ih otkriju.
Kako sajber kriminalci izbjegavaju otkrivanje pomoću naloga duhova na Githubu
Kako bi mreža zlonamjernog softvera ostala aktivna uprkos GitHubovim naporima da ukloni lažne račune, napadači koriste nekoliko taktika:
- Brzo preusmjeravanje linka: Kada GitHub ukloni zlonamjerno spremište, kriminalci ažuriraju veze u svojim drugim spremištima kako bi zadržali distribuciju.
- Korištenje više računa: Svaki lažni nalog ima specifičnu funkciju unutar mreže, kao što je provjera valjanosti spremišta ili postavljanje ugroženih veza.
- Distribucija putem društvenih mreža i foruma: Otkrivene su kampanje na Discordu i drugim kanalima na kojima se dijele veze do ovih zlonamjernih spremišta.
Nedavni slučajevi i rastuća prijetnja
Prema Check Point Research-u, samo u januaru 2024., mreža Stargazers Ghost zarazila je više od Korisnici 1.300-a sa malverom za samo četiri dana. Uz to, prevare vezane za GitHub aktivne su najmanje od 2022. godine, s a održivi rast poslednjih godina.
Grupa je generirala više od 100.000 dolara zahvaljujući prodaji pristupa svojoj mreži ghost naloga i ponudi usluga kao što su manipulacija zvijezdama i viljuške spremišta.
Prevara sa lažnom ponudom posla na GitHub-u
Još jedna metoda koju koriste sajber kriminalci da zaraze računare je prevariti programere lažne ponude za posao. U ovim prevarama, napadači kontaktiraju programere i traže od njih da preuzmu privatno spremište kao dio tehničkog testa. Međutim, kod sadrži zlonamjerni softver koji kompromituje uređaje žrtava.
Žrtve, vjerujući da imaju pristup legitimnoj prilici za posao, nesvjesno se pogubljuju zlonamerni softver koji krade vaše akreditive ili čak omogućava daljinski pristup vašim računarima.
Preporuke da ostanete zaštićeni
S obzirom na proliferaciju ovih prijetnji, bitno je da programeri i korisnici GitHub-a preduzmu sigurnosne mjere:
- Provjerite autentičnost spremišta: provjerite reputaciju kreatora i prethodne aktivnosti na GitHubu.
- Izbjegavajte preuzimanje datoteka iz nepoznatih izvora: posebno ako su šifrirani ili zaštićeni lozinkom.
- Nemojte pokretati kod bez prethodnog pregleda: Kada ste u nedoumici, pokrenite u izolovanom okruženju kao što je virtuelna mašina.
- Obratite pažnju na ponude za posao koje su previše atraktivne: Izbjegavajte preuzimanje koda iz privatnih spremišta bez dodatne provjere. Budite oprezni sa sumnjivim ponudama za posao.
Platforme poput GitHub-a su se pokazale kao fundamentalni alati za razvoj softvera, ali mogu i postati vektori napada ako se ne preduzmu odgovarajuće mjere opreza. Sofisticiranost taktike koju koriste sajber kriminalci pokazuje to važnost sajber sigurnosti u kolaborativnim razvojnim okruženjima. Podijelite ovu vijest kako bi više korisnika saznalo za opasnost..