{"id":1295759,"date":"2024-07-29T08:59:17","date_gmt":"2024-07-29T08:59:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/stargazer-goblin-crea-3-000-cuentas-falsas-de-github-para-difundir-malware\/"},"modified":"2024-07-29T08:59:21","modified_gmt":"2024-07-29T08:59:21","slug":"stargazer-goblin-crea-3-000-cuentas-falsas-de-github-para-difundir-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/stargazer-goblin-crea-3-000-cuentas-falsas-de-github-para-difundir-malware\/","title":{"rendered":"&#8216;Stargazer Goblin&#8217; crea 3.000 cuentas falsas de GitHub para difundir malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Stargazer-Goblin-crea-3000-cuentas-falsas-de-GitHub-para-difundir.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un actor de amenazas conocido como Stargazer Goblin ha creado una red de cuentas de GitHub no aut\u00e9nticas para impulsar un sistema de distribuci\u00f3n como servicio (DaaS) que propaga una variedad de malware que roba informaci\u00f3n y les ha proporcionado 100.000 d\u00f3lares en ganancias il\u00edcitas durante el a\u00f1o pasado.<\/p>\n<p>La red, que comprende m\u00e1s de 3.000 cuentas en la plataforma de alojamiento de c\u00f3digo basada en la nube, abarca miles de repositorios que se utilizan para compartir enlaces maliciosos o malware, seg\u00fan Check Point, que la ha denominado &#8220;Stargazers Ghost Network&#8221;.<\/p>\n<p>Algunas de las familias de malware propagadas mediante este m\u00e9todo incluyen Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine. Las cuentas falsas tambi\u00e9n participan en la funci\u00f3n de protagonizar, bifurcar, observar y suscribirse a repositorios maliciosos para darles una apariencia de legitimidad.<\/p>\n<p>Se cree que la red ha estado activa desde agosto de 2022 en alguna forma preliminar, aunque no se detect\u00f3 un anuncio de DaaS hasta principios de julio de 2023.<\/p>\n<p>&#8220;Los actores de amenazas ahora operan una red de cuentas &#8216;fantasma&#8217; que distribuyen malware a trav\u00e9s de enlaces maliciosos en sus repositorios y archivos cifrados como lanzamientos&#8221;, dijo el investigador de seguridad Antonis Terefos. <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2024\/stargazers-ghost-network\/\" target=\"_blank\">explicado<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n<p>&#8220;Esta red no s\u00f3lo distribuye malware, sino que tambi\u00e9n proporciona varias otras actividades que hacen que estas cuentas &#8216;Fantasma&#8217; parezcan usuarios normales, lo que otorga una falsa legitimidad a sus acciones y a los repositorios asociados&#8221;.<\/p>\n<p>Distintas categor\u00edas de cuentas de GitHub son responsables de distintos aspectos del plan en un intento de hacer que su infraestructura sea m\u00e1s resistente a los esfuerzos de eliminaci\u00f3n de GitHub cuando se detectan cargas maliciosas en la plataforma.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629215_517_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Estos incluyen cuentas que sirven a la plantilla del repositorio de phishing, cuentas que proporcionan la imagen para la plantilla de phishing y cuentas que env\u00edan malware a los repositorios en forma de un archivo protegido con contrase\u00f1a disfrazado de software pirateado y trucos de juegos.<\/p>\n<p>Si GitHub detecta y proh\u00edbe el tercer conjunto de cuentas, Stargazer Goblin actualiza el repositorio de phishing de la primera cuenta con un nuevo enlace a una nueva versi\u00f3n maliciosa activa, lo que permite a los operadores seguir adelante con una interrupci\u00f3n m\u00ednima.<\/p>\n<p>Adem\u00e1s de dar me gusta a los nuevos lanzamientos de m\u00faltiples repositorios y realizar cambios en los archivos README.md para modificar los enlaces de descarga, hay evidencia que sugiere que algunas cuentas que forman parte de la red han sido comprometidas previamente, y es probable que las credenciales hayan sido obtenidas a trav\u00e9s de malware ladr\u00f3n.<\/p>\n<p>&#8220;La mayor\u00eda de las veces, observamos que las cuentas de Repository y Stargazer no se ven afectadas por prohibiciones y eliminaciones de repositorios, mientras que las cuentas de Commit y Release generalmente se proh\u00edben una vez que se detectan sus repositorios maliciosos&#8221;, dijo Terefos.<\/p>\n<p>&#8220;Es habitual encontrar repositorios de enlaces que contienen enlaces a repositorios de versiones prohibidos. Cuando esto ocurre, la cuenta de confirmaci\u00f3n asociada con el repositorio de enlaces actualiza el enlace malicioso con uno nuevo&#8221;.<\/p>\n<p>Una de las campa\u00f1as descubiertas por Check Point implica el uso de un enlace malicioso a un repositorio de GitHub que, a su vez, apunta a un script PHP alojado en un sitio de WordPress y entrega un archivo de aplicaci\u00f3n HTML (HTA) para finalmente ejecutar Atlantida Stealer mediante un script de PowerShell.<\/p>\n<p>Otras familias de malware que se propagan a trav\u00e9s de DaaS son Lumma Stealer, RedLine Stealer, Rhadamanthys y RisePro. Check Point se\u00f1al\u00f3 adem\u00e1s que las cuentas de GitHub son parte de una soluci\u00f3n DaaS m\u00e1s grande que opera cuentas fantasma similares en otras plataformas como Discord, Facebook, Instagram, X y YouTube.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722243557_513_Stargazer-Goblin-crea-3000-cuentas-falsas-de-GitHub-para-difundir.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722243557_513_Stargazer-Goblin-crea-3000-cuentas-falsas-de-GitHub-para-difundir.png\" alt=\"Cuentas de GitHub para la propagaci\u00f3n de malware\" border=\"0\" data-original-height=\"526\" data-original-width=\"1032\" title=\"Cuentas de GitHub para la propagaci\u00f3n de malware\"\/><\/a><\/div>\n<p>&#8220;Stargazer Goblin cre\u00f3 una operaci\u00f3n de distribuci\u00f3n de malware extremadamente sofisticada que evita la detecci\u00f3n ya que GitHub se considera un sitio web leg\u00edtimo, evita las sospechas de actividades maliciosas y minimiza y recupera cualquier da\u00f1o cuando GitHub interrumpe su red&#8221;, dijo Terefos.<\/p>\n<p>&#8220;Al utilizar m\u00faltiples cuentas y perfiles que realizan diferentes actividades, desde protagonizar hasta alojar el repositorio, confirmar la plantilla de phishing y alojar versiones maliciosas, Stargazers Ghost Network puede minimizar sus p\u00e9rdidas cuando GitHub realiza alguna acci\u00f3n para perturbar sus operaciones, ya que, por lo general, solo se interrumpe una parte de toda la operaci\u00f3n en lugar de todas las cuentas involucradas&#8221;.<\/p>\n<p>El desarrollo se produce en un momento en que actores de amenazas desconocidos est\u00e1n&#8230; <a rel=\"nofollow noopener\" href=\"https:\/\/www.kaspersky.com\/blog\/github-phishing-attacks-gitloker\/51557\/\" target=\"_blank\">Apuntando<\/a> Repositorios de GitHub, borrando su contenido y pidiendo a las v\u00edctimas que se comuniquen con un usuario llamado Gitloker en Telegram como parte de una nueva operaci\u00f3n de extorsi\u00f3n que ha estado en curso desde febrero de 2024.<\/p>\n<p>El ataque de ingenier\u00eda social se dirige a los desarrolladores con correos electr\u00f3nicos de phishing enviados desde &#8220;notifications@github.com&#8221;, con el objetivo de enga\u00f1arlos para que hagan clic en enlaces falsos bajo la apariencia de una oportunidad laboral en GitHub, despu\u00e9s de lo cual se les solicita que autoricen una nueva aplicaci\u00f3n OAuth que borra todos los repositorios y exige un pago a cambio de restaurar el acceso.<\/p>\n<p>Tambi\u00e9n sigue un aviso de Truffle Security de que es posible acceder a datos confidenciales de bifurcaciones eliminadas, repositorios eliminados e incluso repositorios privados en GitHub, instando a las organizaciones a tomar medidas para protegerse contra lo que llama una vulnerabilidad de referencia de objetos entre bifurcaciones (CFOR).<\/p>\n<p>&#8220;Una vulnerabilidad CFOR ocurre cuando una bifurcaci\u00f3n del repositorio puede acceder a datos confidenciales de otra bifurcaci\u00f3n (incluidos datos de bifurcaciones privadas y eliminadas)&#8221;, Joe Leon <a rel=\"nofollow noopener\" href=\"https:\/\/trufflesecurity.com\/blog\/anyone-can-access-deleted-and-private-repo-data-github\" target=\"_blank\">dicho<\/a>&#8220;De manera similar a una referencia de objeto directa insegura, en CFOR los usuarios suministran hashes de confirmaci\u00f3n para acceder directamente a datos de confirmaci\u00f3n que de otro modo no ser\u00edan visibles para ellos&#8221;.<\/p>\n<p>En otras palabras, un fragmento de c\u00f3digo enviado a un repositorio p\u00fablico puede ser accesible para siempre mientras exista al menos una bifurcaci\u00f3n de ese repositorio. Adem\u00e1s, tambi\u00e9n podr\u00eda usarse para acceder al c\u00f3digo enviado entre el momento en que se crea una bifurcaci\u00f3n interna y el repositorio se hace p\u00fablico.<\/p>\n<p>Sin embargo, vale la pena se\u00f1alar que estas son decisiones de dise\u00f1o intencionales tomadas por GitHub, como <a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/pull-requests\/collaborating-with-pull-requests\/working-with-forks\/about-permissions-and-visibility-of-forks\" target=\"_blank\">anotado<\/a> por el <a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/pull-requests\/collaborating-with-pull-requests\/working-with-forks\/what-happens-to-forks-when-a-repository-is-deleted-or-changes-visibility\" target=\"_blank\">compa\u00f1\u00eda<\/a> en su propia documentaci\u00f3n &#8211;<\/p>\n<ul>\n<li>Se puede acceder a las confirmaciones de cualquier repositorio en una red de bifurcaci\u00f3n desde cualquier repositorio en la misma red de bifurcaci\u00f3n, incluido el repositorio ascendente.<\/li>\n<li>Cuando cambias un repositorio privado a p\u00fablico, todas las confirmaciones en ese repositorio, incluidas todas las confirmaciones realizadas en los repositorios en los que se bifurc\u00f3, ser\u00e1n visibles para todos.<\/li>\n<\/ul>\n<p>&#8220;El usuario promedio ve la separaci\u00f3n de los repositorios privados y p\u00fablicos como un l\u00edmite de seguridad, y comprensiblemente cree que los usuarios p\u00fablicos no pueden acceder a los datos ubicados en un repositorio privado&#8221;, dijo Leon.<\/p>\n<p>&#8220;Desafortunadamente, [&#8230;] Esto no siempre es cierto. Adem\u00e1s, el acto de eliminaci\u00f3n implica la destrucci\u00f3n de datos. Como vimos anteriormente, eliminar un repositorio o una bifurcaci\u00f3n no significa que los datos de confirmaci\u00f3n se eliminen en realidad.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/stargazer-goblin-creates-3000-fake.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un actor de amenazas conocido como Stargazer Goblin ha creado una red de cuentas de GitHub no aut\u00e9nticas<\/p>\n","protected":false},"author":1,"featured_media":1295760,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,4091,5017,11821,3187,4662,50201,235501,4668,4667,4669,239182,4654,239508,4658,4659,4653,18,4666,4665,244896,239484],"class_list":["post-1295759","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-crea","tag-cuentas","tag-difundir","tag-falsas","tag-filtracion-de-datos","tag-github","tag-goblin","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-stargazer","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1295759","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1295759"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1295759\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1295760"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1295759"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1295759"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1295759"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}