Un actor de amenazas conocido como Stargazer Goblin ha creado una red de cuentas de GitHub no auténticas para impulsar un sistema de distribución como servicio (DaaS) que propaga una variedad de malware que roba información y les ha proporcionado 100.000 dólares en ganancias ilícitas durante el año pasado.
La red, que comprende más de 3.000 cuentas en la plataforma de alojamiento de código basada en la nube, abarca miles de repositorios que se utilizan para compartir enlaces maliciosos o malware, según Check Point, que la ha denominado «Stargazers Ghost Network».
Algunas de las familias de malware propagadas mediante este método incluyen Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine. Las cuentas falsas también participan en la función de protagonizar, bifurcar, observar y suscribirse a repositorios maliciosos para darles una apariencia de legitimidad.
Se cree que la red ha estado activa desde agosto de 2022 en alguna forma preliminar, aunque no se detectó un anuncio de DaaS hasta principios de julio de 2023.
«Los actores de amenazas ahora operan una red de cuentas ‘fantasma’ que distribuyen malware a través de enlaces maliciosos en sus repositorios y archivos cifrados como lanzamientos», explicó el investigador de seguridad Antonis Terefos en un análisis publicado la semana pasada.
«Esta red no sólo distribuye malware, sino que también proporciona varias otras actividades que hacen que estas cuentas ‘Fantasma’ parezcan usuarios normales, lo que otorga una falsa legitimidad a sus acciones y a los repositorios asociados».
Distintas categorías de cuentas de GitHub son responsables de distintos aspectos del plan en un intento de hacer que su infraestructura sea más resistente a los esfuerzos de eliminación de GitHub cuando se detectan cargas maliciosas en la plataforma.
Estos incluyen cuentas que sirven a la plantilla del repositorio de phishing, cuentas que proporcionan la imagen para la plantilla de phishing y cuentas que envían malware a los repositorios en forma de un archivo protegido con contraseña disfrazado de software pirateado y trucos de juegos.
Si GitHub detecta y prohíbe el tercer conjunto de cuentas, Stargazer Goblin actualiza el repositorio de phishing de la primera cuenta con un nuevo enlace a una nueva versión maliciosa activa, lo que permite a los operadores seguir adelante con una interrupción mínima.
Además de dar me gusta a los nuevos lanzamientos de múltiples repositorios y realizar cambios en los archivos README.md para modificar los enlaces de descarga, hay evidencia que sugiere que algunas cuentas que forman parte de la red han sido comprometidas previamente, y es probable que las credenciales hayan sido obtenidas a través de malware ladrón.
«La mayoría de las veces, observamos que las cuentas de Repository y Stargazer no se ven afectadas por prohibiciones y eliminaciones de repositorios, mientras que las cuentas de Commit y Release generalmente se prohíben una vez que se detectan sus repositorios maliciosos», dijo Terefos.
«Es habitual encontrar repositorios de enlaces que contienen enlaces a repositorios de versiones prohibidos. Cuando esto ocurre, la cuenta de confirmación asociada con el repositorio de enlaces actualiza el enlace malicioso con uno nuevo».
Una de las campañas descubiertas por Check Point implica el uso de un enlace malicioso a un repositorio de GitHub que, a su vez, apunta a un script PHP alojado en un sitio de WordPress, que luego entrega un archivo de aplicación HTML (HTA) para finalmente ejecutar Atlantida Stealer por medio de un script de PowerShell.
Otras familias de malware que se propagan a través de DaaS son Lumma Stealer, RedLine Stealer, Rhadamanthys y RisePro. Check Point señaló además que las cuentas de GitHub son parte de una solución DaaS más grande que opera cuentas «Ghost» similares en otras plataformas como Discord, Facebook, Instagram, X y YouTube.
«Stargazer Goblin creó una operación de distribución de malware extremadamente sofisticada que evita la detección ya que GitHub se considera un sitio web legítimo, evita las sospechas de actividades maliciosas y minimiza y recupera cualquier daño cuando GitHub interrumpe su red», dijo Terefos.
«Al utilizar múltiples cuentas y perfiles que realizan diferentes actividades, desde protagonizar hasta alojar el repositorio, confirmar la plantilla de phishing y alojar versiones maliciosas, Stargazers Ghost Network puede minimizar sus pérdidas cuando GitHub realiza alguna acción para perturbar sus operaciones, ya que, por lo general, solo se interrumpe una parte de toda la operación en lugar de todas las cuentas involucradas».
El desarrollo se produce mientras actores de amenazas desconocidos apuntan a los repositorios de GitHub, borran su contenido y piden a las víctimas que se comuniquen con un usuario llamado Gitloker en Telegram como parte de una nueva operación de extorsión que ha estado en curso desde febrero de 2024.
El ataque de ingeniería social se dirige a los desarrolladores con correos electrónicos de phishing enviados desde «notifications@github.com», con el objetivo de engañarlos para que hagan clic en enlaces falsos bajo la apariencia de una oportunidad laboral en GitHub, después de lo cual se les solicita que autoricen una nueva aplicación OAuth que borra todos los repositorios y exige un pago a cambio de restaurar el acceso.
También sigue un aviso de Truffle Security de que es posible acceder a datos confidenciales de bifurcaciones eliminadas, repositorios eliminados e incluso repositorios privados en GitHub, instando a las organizaciones a tomar medidas para protegerse contra lo que llama una vulnerabilidad de referencia de objetos entre bifurcaciones (CFOR).
«Una vulnerabilidad de CFOR ocurre cuando una bifurcación de un repositorio puede acceder a datos confidenciales de otra bifurcación (incluidos datos de bifurcaciones privadas y eliminadas)», dijo Joe Leon . «De manera similar a una referencia directa a un objeto inseguro, en CFOR los usuarios proporcionan hashes de confirmación para acceder directamente a datos de confirmación que de otra manera no serían visibles para ellos».
En otras palabras, un fragmento de código enviado a un repositorio público puede ser accesible para siempre mientras exista al menos una bifurcación de ese repositorio. Además, también podría usarse para acceder al código enviado entre el momento en que se crea una bifurcación interna y el repositorio se hace público.
Sin embargo, vale la pena señalar que estas son decisiones de diseño intencionales tomadas por GitHub, como lo señala la empresa en su propia documentación:
- Se puede acceder a las confirmaciones de cualquier repositorio en una red de bifurcación desde cualquier repositorio en la misma red de bifurcación, incluido el repositorio ascendente.
- Cuando cambias un repositorio privado a público, todas las confirmaciones en ese repositorio, incluidas todas las confirmaciones realizadas en los repositorios en los que se bifurcó, serán visibles para todos.
«El usuario promedio ve la separación de los repositorios privados y públicos como un límite de seguridad, y comprensiblemente cree que los usuarios públicos no pueden acceder a los datos ubicados en un repositorio privado», dijo Leon.
«Desafortunadamente, […] eso no siempre es cierto. Es más, el acto de borrar implica la destrucción de datos. Como vimos anteriormente, borrar un repositorio o una bifurcación no significa que los datos de confirmación se eliminen en realidad».
Fuente y redacción: thehackernews.com