GitHub’da yaklaşık 3.000 “hayalet” hesaptan oluşan gizli bir ağın, kötü amaçlı yazılım ve kimlik avı bağlantılarını tanıtmak için kod barındırma platformunu manipüle ettiği keşfedildi. Siber güvenlik firması tarafından yürütülen son araştırma Kontrol Noktası Araştırmacıların “Stargazer Goblin” adını verdiği bir siber suçlunun faaliyetlerini ortaya çıkardı.
Haziran 2023’ten veya daha öncesinden beri Stargazer Goblin, dünyanın en büyük açık kaynaklı kod deposu olan Microsoft’a ait GitHub’da aktiftir. Site milyonlarca geliştiricinin projesine ev sahipliği yapmaktadır ve Stargazer Goblin, kötü amaçlı kod depolarının görünürlüğünü ve algılanan meşruiyetini artırmak için topluluk araçlarını kullanmaktadır.
Check Point’te bu ağı ortaya çıkaran kötü amaçlı yazılım tersine mühendisi Antonis Terefos, operasyonun karmaşıklığını vurguladı. GitHub’ın daha önce siber suçlular tarafından hedef alındığını belirterek, bu operasyonun ölçeğinin ve yönteminin benzeri görülmemiş olduğunu belirtti.
Depolar ve yıldızlar, siber suçlarla bağlantılı bir Telegram kanalı ve çeşitli suç pazar yerleri aracılığıyla alınıp satılır. Telegram, siber suçlular, müşterileri ve kurbanları tarafından yaygın olarak kullanılır. Terefos, GitHub’da bu şekilde çalışan bu tür sahte hesap ağlarını daha önce hiç görmediğini söyledi.
Check Point’in Stargazers Ghost Network’ü, sosyal medya, oyun ve kripto para uygulamaları için meşru araçlar kılığında kötü amaçlı yazılım yayıyor. Bazı örnekler arasında VPN’leri çalıştırmak veya Adobe Photoshop gibi yazılımları lisanslamak için kodlar yer alıyor. Bu tür depolar, çevrimiçi olarak ücretsiz yazılım arayan Windows kullanıcılarını hedef alıyor.
Ağ, hizmetlerini kullanmak için diğer bilgisayar korsanlarından ücret alır. Check Point, bu ağ üzerinden dağıtılan çeşitli kötü amaçlı yazılım türlerini tespit etti; bunlar arasında Atlantida Stealer, Rhadamanthys ve Lumma Stealer yer alır. Terefos, ağı Atlantida Stealer örneklerini araştırırken keşfetti.
Stargazer Goblin, siber suç forumlarına reklam veriyor ve Telegram kanalı 100 yıldızı 10 dolara ve 500 yıldızı 50 dolara gibi hizmetler sunuyor. Ayrıca mevcut depoları klonlamayı ve güvenilir hesaplar sağlamayı da teklif ediyor. Check Point’in araştırması, ağın bu faaliyetlere Ağustos 2022 gibi erken bir tarihte başlamış olabileceğini ve o zamandan beri 100.000 dolara kadar para toplamış olabileceğini gösteriyor. Sadece bu yıl Mayıs ortasından Haziran ortasına kadar operatörün yaklaşık 8.000 dolar kazandığı bildirildi.
Terefos, çalınan kimlik bilgileri kullanılarak meşru depoların ele geçirildiğini ve kötü amaçlı olanlara dönüştürüldüğünü gözlemledi. Meşru kullanıcılar bu tehlikeye atılmış depoları çatallandırırsa kötü amaçlı kod daha da yayılabilir. Otomatik araçlar, Terefos’un benzer şablonlar ve etiketler gibi ortak özellikleri tanıyarak ağa bağlı hesapları tanımlamasına yardımcı olur.
GitHub, yasadışı kötü amaçlı yazılım kampanyalarını destekleyen bir hesap tespit ettiğinde, Kabul Edilebilir Kullanım Politikalarını ihlal eden bu kullanıcı hesaplarını devre dışı bırakır. GitHub’daki güvenlik operasyonları başkan yardımcısı Alexis Wales, şirketin bu tür içerikleri ve hesapları tespit etmek ve kaldırmak için özel ekipleri olduğunu belirtti. Bu ekipler, şüpheli davranışları tespit etmek için makine öğrenimi kullanarak manuel incelemeler ve ölçeklenebilir tespitlerin bir kombinasyonunu kullanır.
Ne yazık ki GitHub, 100 milyondan fazla kullanıcı ve 420 milyon depoyla devasa bir hedeftir. Bu, siber suçluların kullanıcı tabanında, sahildeki bir kum tanesi gibi saklanmasını oldukça önemsiz bir zorluk haline getirir.
Güvenlik firması Eset’te küresel siber güvenlik danışmanı olan Jake Moore, GitHub kullanıcılarını kötü amaçlı kod indirmenin riskleri konusunda uyardı. Kötü amaçlı depoların göstergeleri arasında beklenmeyen kod değişiklikleri, harici kaynaklara erişen kod ve sabit kodlanmış kimlik bilgileri veya API anahtarları bulunur.
Stargazer Goblin’in ağı, bir YouTube hesabının videolar aracılığıyla kötü amaçlı bağlantılar paylaşmasıyla kanıtlandığı gibi daha da geniş olabilir. Terefos, ağın operasyonlarının tam kapsamının hala tamamen bilinmediğini vurguluyor.