GitHub » height= »900″ src= »https://tecknews.com/wp-content/uploads/2024/07/localimages/GitHub__headpic.jpg » width= »1600″>
Un groupe de cybercriminels, désigné sous le nom de ‘Stargazer Goblin’, a mis en place un service de distribution de logiciels malveillants (DaaS) en utilisant plus de 3 000 faux comptes sur GitHub pour propager des malwares volants d’informations.
Ce service de livraison de malwares, connu sous le nom de Stargazers Ghost Network, exploite des dépôts GitHub ainsi que des sites WordPress compromis pour diffuser des archives protégées par mot de passe contenant des malwares. Parmi ces malwares, on trouve principalement des voleurs d’informations tels que RedLine, Lumma Stealer, Rhadamanthys, RisePro et Atlantida Stealer.
Source : Check Point
Étant donné que GitHub est un service largement reconnu et de confiance, les utilisateurs y font souvent moins attention et sont plus enclins à cliquer sur des liens trouvés dans ses dépôts.
Une enquête menée par Check Point Research a révélé cette opération, affirmant qu’il s’agit de la première documentation d’un schéma aussi organisé et à grande échelle sur GitHub.
Selon le rapport de Check Point Research, « Les campagnes menées par le Stargazers Ghost Network et les malwares distribués via ce service rencontrent un succès remarquable. »
En peu de temps, des milliers de victimes ont installé des logiciels provenant de dépôts apparemment légitimes, sans soupçonner de malveillance. Les modèles de phishing, orientés vers les victimes, permettent aux cybercriminels d’infecter des utilisateurs ayant des profils et des comptes en ligne spécifiques, rendant ainsi les infections encore plus précieuses.
Les ‘fantômes’ de GitHub propagent des malwares
Le créateur de cette opération DaaS, Stargazer Goblin, fait la promotion de son service de distribution de malwares sur le dark web depuis juin 2023, bien que Check Point indique qu’il pourrait être actif depuis août 2022.
Source : Check Point
Stargazer Goblin a mis en place un système où il crée des centaines de dépôts en utilisant trois mille faux comptes ‘fantômes’. Ces comptes étoilent, forment et s’abonnent à des dépôts malveillants pour accroître leur légitimité apparente et augmenter leurs chances d’apparaître dans la section tendance de GitHub.
Source : Check Point
Les dépôts utilisent des noms de projets et des balises ciblant des intérêts spécifiques tels que la cryptomonnaie, les jeux vidéo et les réseaux sociaux.
Source : Check Point
Les comptes ‘fantômes’ ont des rôles distincts. Un groupe fournit le modèle de phishing, un autre l’image de phishing, et un troisième distribue le malware, ce qui confère au schéma une certaine résilience opérationnelle.
Selon le chercheur Antonis Terefos, « Le troisième compte, qui distribue le malware, est plus susceptible d’être détecté. Lorsque cela se produit, GitHub bannit l’ensemble du compte, du dépôt et des versions associées. »
« En réponse à de telles actions, Stargazer Goblin met à jour le dépôt de phishing du premier compte avec un nouveau lien vers une nouvelle version malveillante active. Cela permet au réseau de continuer à fonctionner avec des pertes minimales lorsqu’un compte distribuant des malwares est banni. »
Source : Check Point
Check Point a observé un cas où une vidéo YouTube contenant un tutoriel logiciel renvoyait vers le même opérateur que l’un des dépôts GitHub du ‘Stargazers Ghost Network’.
Les chercheurs notent qu’il pourrait s’agir de l’un des nombreux exemples de canaux utilisés pour diriger le trafic vers des dépôts de phishing ou des sites de distribution de malwares.
En ce qui concerne l’ampleur de l’opération et sa capacité à générer des profits, Check Point estime que l’acteur malveillant a réalisé plus de 100 000 dollars depuis le lancement du service.
Quant aux malwares distribués par le biais de l’opération du Stargazers Ghost Network, Check Point mentionne qu’ils incluent RedLine, Lumma Stealer, Rhadamanthys, RisePro et Atlantida Stealer, entre autres.
Dans une chaîne d’attaque présentée dans le rapport de Check Point, le dépôt GitHub redirige les visiteurs vers un site WordPress compromis, d’où ils téléchargent une archive ZIP contenant un fichier HTA avec du VBScript.
Source : Check Point
Le VBScript déclenche l’exécution de deux scripts PowerShell successifs qui mènent finalement au déploiement de l’Atlantida Stealer.
Bien que GitHub ait pris des mesures contre de nombreux dépôts malveillants et essentiellement faux, en supprimant plus de 1 500 depuis mai 2024, Check Point indique qu’il en reste plus de 200 actuellement actifs et continuant à distribuer des malwares.
Source : Check Point
Les utilisateurs accédant aux dépôts GitHub via des publicités malveillantes, des résultats de recherche Google, des vidéos YouTube, Telegram ou des réseaux sociaux sont fortement conseillés d’être très prudents avec les téléchargements de fichiers et les URL sur lesquelles ils cliquent.
Cela est particulièrement vrai pour les archives protégées par mot de passe, qui ne peuvent pas être scannées par les logiciels antivirus. Pour ces types de fichiers, il est recommandé de les extraire sur une machine virtuelle et de scanner le contenu extrait avec un logiciel antivirus pour détecter d’éventuels malwares.
Si une machine virtuelle n’est pas disponible, vous pouvez également utiliser VirusTotal, qui demandera le mot de passe d’une archive protégée afin de pouvoir scanner son contenu. Cependant, VirusTotal ne peut scanner une archive protégée que si elle contient un seul fichier.
