(Crédit image : Pixabay)
Des cybercriminels ont mis en place des milliers de comptes sur GitHub pour établir un service de distribution de logiciels malveillants, ciblant les appareils des développeurs, selon des experts en cybersécurité.
Cette opération a été récemment mise en lumière par des chercheurs de Check Point, qui ont noté que chaque compte joue un rôle spécifique, rendant l’ensemble du système particulièrement résistant aux tentatives de suppression.
Les chercheurs ont baptisé ce projet le Réseau Fantôme des Stargazers, apparemment orchestré par un acteur malveillant connu sous le nom de Stargazer Goblin.
Un projet efficace
Ce hacker a enregistré 3 000 comptes GitHub, qu’il utilise pour propager « des centaines » de dépôts malveillants. Les comptes sont répartis en trois catégories : l’une fournit le modèle de phishing, une autre les images de phishing, et la dernière distribue le logiciel malveillant. Cette structure permet au réseau de mieux résister aux suppressions par GitHub. De plus, tous les comptes sont utilisés pour étoffer, forker et s’abonner à des dépôts malveillants, renforçant ainsi leur crédibilité aux yeux des utilisateurs ordinaires.
« Le troisième compte, qui distribue le logiciel malveillant, est plus susceptible d’être détecté. Lorsque cela se produit, GitHub bannit l’ensemble du compte, du dépôt et des versions associées, » a déclaré Check Point dans son rapport. « En réponse à ces actions, Stargazer Goblin met à jour le dépôt de phishing du premier compte avec un nouveau lien vers une nouvelle version malveillante active. Cela permet au réseau de continuer à fonctionner avec un minimum de pertes lorsque l’un des comptes de distribution de logiciels malveillants est banni. »
Étant donné que GitHub est une plateforme largement reconnue et de confiance, de nombreux utilisateurs ne s’attendent pas à être exposés à des logiciels malveillants de cette manière. Par conséquent, la campagne a jusqu’à présent rencontré un grand succès, concluent les chercheurs.
« Les campagnes menées par le Réseau Fantôme des Stargazers et les logiciels malveillants distribués via ce service sont extrêmement efficaces, » indique le rapport. « En peu de temps, des milliers de victimes ont installé des logiciels provenant de dépôts apparemment légitimes sans soupçonner de mauvaise intention. Les modèles de phishing, orientés vers les victimes, permettent aux acteurs malveillants d’infecter des cibles avec des profils et des comptes en ligne spécifiques, rendant les infections encore plus précieuses. »
Le Réseau Fantôme des Stargazers est principalement utilisé pour livrer des infostealers tels que RedLine, Lumma, Rhadamanthys, RisePro et Atlantida.
