Un acteur malveillant connu sous le nom de Stargazer Goblin a mis en place un réseau de comptes GitHub non authentiques pour alimenter une distribution en tant que service (DaaS) qui propage une variété de logiciels malveillants voleurs d’informations et leur rapporte 100 000 $ de profits illicites au cours de l’année écoulée.

Le réseau, qui comprend plus de 3 000 comptes sur la plateforme d’hébergement de code basée sur le cloud, s’étend sur des milliers de référentiels utilisés pour partager des liens malveillants ou des logiciels malveillants, selon Check Point, qui l’a surnommé « Stargazers Ghost Network ».

Certaines des familles de logiciels malveillants propagées à l’aide de cette méthode incluent Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer et RedLine, les faux comptes étant également impliqués dans le starling, le forking, la surveillance et l’abonnement à des référentiels malveillants pour leur donner un semblant de légitimité.

On pense que le réseau est actif depuis août 2022 sous une forme préliminaire, bien qu’une publicité pour le DaaS n’ait été repérée dans le noir qu’au début du mois de juillet 2023.

« Les acteurs de la menace exploitent désormais un réseau de comptes « fantômes » qui distribuent des logiciels malveillants via des liens malveillants sur leurs référentiels et archives cryptées en tant que versions », explique le chercheur en sécurité Antonis Terefos. expliqué dans une analyse publiée la semaine dernière.

« Ce réseau ne se contente pas de diffuser des logiciels malveillants, mais propose également diverses autres activités qui font apparaître ces comptes « fantômes » comme des utilisateurs normaux, conférant ainsi une fausse légitimité à leurs actions et aux référentiels associés. »

Différentes catégories de comptes GitHub sont responsables d’aspects distincts du système dans le but de rendre leur infrastructure plus résiliente aux efforts de retrait de GitHub lorsque des charges utiles malveillantes sont signalées sur la plateforme.

La cyber-sécurité

Il s’agit notamment des comptes qui servent le modèle de référentiel de phishing, des comptes qui fournissent l’image du modèle de phishing et des comptes qui envoient des logiciels malveillants vers les référentiels sous la forme d’une archive protégée par mot de passe se faisant passer pour des logiciels piratés et des astuces de jeu.

Si le troisième ensemble de comptes est détecté et banni par GitHub, Stargazer Goblin procède à la mise à jour du référentiel de phishing du premier compte avec un nouveau lien vers une nouvelle version malveillante active, permettant ainsi aux opérateurs d’avancer avec un minimum de perturbations.

En plus d’aimer les nouvelles versions de plusieurs référentiels et d’appliquer des modifications aux fichiers README.md pour modifier les liens de téléchargement, il existe des preuves suggérant que certains comptes faisant partie du réseau ont déjà été compromis, les informations d’identification ayant probablement été obtenues via un logiciel malveillant voleur.

« La plupart du temps, nous observons que les comptes Repository et Stargazer ne sont pas affectés par les interdictions et les suppressions de référentiels, tandis que les comptes Commit et Release sont généralement bannis une fois que leurs référentiels malveillants sont détectés », a déclaré Terefos.

« Il est courant de trouver des référentiels de liens contenant des liens vers des référentiels de versions interdits. Lorsque cela se produit, le compte Commit associé au référentiel de liens met à jour le lien malveillant avec un nouveau. »

L’une des campagnes découvertes par Check Point implique l’utilisation d’un lien malveillant vers un référentiel GitHub qui, à son tour, pointe vers un script PHP hébergé sur un site WordPress et fournit un fichier d’application HTML (HTA) pour finalement exécuter Atlantida Stealer au moyen d’un script PowerShell.

D’autres familles de malwares propagées via le DaaS sont Lumma Stealer, RedLine Stealer, Rhadamanthys et RisePro. Check Point a également noté que les comptes GitHub font partie d’une solution DaaS plus vaste qui exploite des comptes fantômes similaires sur d’autres plateformes telles que Discord, Facebook, Instagram, X et YouTube.

Comptes GitHub pour la propagation de logiciels malveillants

« Stargazer Goblin a créé une opération de distribution de logiciels malveillants extrêmement sophistiquée qui évite la détection car GitHub est considéré comme un site Web légitime, contourne les soupçons d’activités malveillantes et minimise et récupère tout dommage lorsque GitHub perturbe son réseau », a déclaré Terefos.

« L’utilisation de plusieurs comptes et profils effectuant différentes activités, de la mise en vedette à l’hébergement du référentiel, en passant par la validation du modèle de phishing et l’hébergement de versions malveillantes, permet au réseau fantôme Stargazers de minimiser ses pertes lorsque GitHub effectue des actions visant à perturber ses opérations, car généralement, une seule partie de l’ensemble de l’opération est perturbée au lieu de tous les comptes impliqués. »

Cette évolution intervient alors que des acteurs de menaces inconnus sont ciblage Les dépôts GitHub ont été vidé de leur contenu et les victimes ont été invitées à contacter un utilisateur nommé Gitloker sur Telegram dans le cadre d’une nouvelle opération d’extorsion en cours depuis février 2024.

L’attaque d’ingénierie sociale cible les développeurs avec des e-mails de phishing envoyés depuis « [email protected] », dans le but de les inciter à cliquer sur de faux liens sous le couvert d’une offre d’emploi chez GitHub, après quoi ils sont invités à autoriser une nouvelle application OAuth qui efface tous les référentiels et exige un paiement en échange de la restauration de l’accès.

Cela fait également suite à un avis de Truffle Security selon lequel il est possible d’accéder à des données sensibles à partir de forks supprimés, de référentiels supprimés et même de référentiels privés sur GitHub, exhortant les organisations à prendre des mesures pour se protéger contre ce qu’il appelle une vulnérabilité Cross Fork Object Reference (CFOR).

« Une vulnérabilité CFOR se produit lorsqu’un fork de référentiel peut accéder à des données sensibles à partir d’un autre fork (y compris des données provenant de forks privés et supprimés) », Joe Leon dit« Similaire à une référence d’objet directe non sécurisée, dans CFOR, les utilisateurs fournissent des hachages de validation pour accéder directement aux données de validation qui autrement ne leur seraient pas visibles. »

En d’autres termes, un morceau de code validé dans un référentiel public peut être accessible à tout moment tant qu’il existe au moins un fork de ce référentiel. De plus, il pourrait également être utilisé pour accéder au code validé entre le moment où un fork interne est créé et celui où le référentiel est rendu public.

Il convient toutefois de noter qu’il s’agit de décisions de conception intentionnelles prises par GitHub, car noté par le entreprise dans sa propre documentation –

  • Les commits effectués dans n’importe quel référentiel d’un réseau de forks sont accessibles à partir de n’importe quel référentiel du même réseau de forks, y compris le référentiel en amont
  • Lorsque vous changez un référentiel privé en référentiel public, tous les commits de ce référentiel, y compris tous les commits effectués dans les référentiels dans lesquels il a été forké, seront visibles par tout le monde.

« L’utilisateur moyen considère la séparation des référentiels privés et publics comme une limite de sécurité et croit naturellement que les données situées dans un référentiel privé ne sont pas accessibles aux utilisateurs publics », a déclaré Leon.

“Malheureusement, […] ce n’est pas toujours vrai. De plus, l’acte de suppression implique la destruction des données. Comme nous l’avons vu ci-dessus, la suppression d’un dépôt ou d’un fork ne signifie pas que vos données de validation sont réellement supprimées.”

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire davantage de contenu exclusif que nous publions.





ttn-fr-57