{"id":1258001,"date":"2024-07-29T07:36:10","date_gmt":"2024-07-29T09:36:10","guid":{"rendered":"https:\/\/teknomers.com\/fr\/stargazer-goblin-cree-3-000-faux-comptes-github-pour-diffuser-des-logiciels-malveillants\/"},"modified":"2024-07-29T07:36:16","modified_gmt":"2024-07-29T09:36:16","slug":"stargazer-goblin-cree-3-000-faux-comptes-github-pour-diffuser-des-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/stargazer-goblin-cree-3-000-faux-comptes-github-pour-diffuser-des-logiciels-malveillants\/","title":{"rendered":"\u00ab Stargazer Goblin \u00bb cr\u00e9e 3 000 faux comptes GitHub pour diffuser des logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Stargazer-Goblin-cree-3-000-faux-comptes-GitHub.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un acteur malveillant connu sous le nom de Stargazer Goblin a mis en place un r\u00e9seau de comptes GitHub non authentiques pour alimenter une distribution en tant que service (DaaS) qui propage une vari\u00e9t\u00e9 de logiciels malveillants voleurs d&#8217;informations et leur rapporte 100 000 $ de profits illicites au cours de l&#8217;ann\u00e9e \u00e9coul\u00e9e.<\/p>\n<p>Le r\u00e9seau, qui comprend plus de 3 000 comptes sur la plateforme d&#8217;h\u00e9bergement de code bas\u00e9e sur le cloud, s&#8217;\u00e9tend sur des milliers de r\u00e9f\u00e9rentiels utilis\u00e9s pour partager des liens malveillants ou des logiciels malveillants, selon Check Point, qui l&#8217;a surnomm\u00e9 \u00ab Stargazers Ghost Network \u00bb.<\/p>\n<p>Certaines des familles de logiciels malveillants propag\u00e9es \u00e0 l&#8217;aide de cette m\u00e9thode incluent Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer et RedLine, les faux comptes \u00e9tant \u00e9galement impliqu\u00e9s dans le starling, le forking, la surveillance et l&#8217;abonnement \u00e0 des r\u00e9f\u00e9rentiels malveillants pour leur donner un semblant de l\u00e9gitimit\u00e9.<\/p>\n<p>On pense que le r\u00e9seau est actif depuis ao\u00fbt 2022 sous une forme pr\u00e9liminaire, bien qu&#8217;une publicit\u00e9 pour le DaaS n&#8217;ait \u00e9t\u00e9 rep\u00e9r\u00e9e dans le noir qu&#8217;au d\u00e9but du mois de juillet 2023.<\/p>\n<p>\u00ab Les acteurs de la menace exploitent d\u00e9sormais un r\u00e9seau de comptes \u00ab fant\u00f4mes \u00bb qui distribuent des logiciels malveillants via des liens malveillants sur leurs r\u00e9f\u00e9rentiels et archives crypt\u00e9es en tant que versions \u00bb, explique le chercheur en s\u00e9curit\u00e9 Antonis Terefos. <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2024\/stargazers-ghost-network\/\" target=\"_blank\">expliqu\u00e9<\/a> dans une analyse publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>\u00ab Ce r\u00e9seau ne se contente pas de diffuser des logiciels malveillants, mais propose \u00e9galement diverses autres activit\u00e9s qui font appara\u00eetre ces comptes \u00ab fant\u00f4mes \u00bb comme des utilisateurs normaux, conf\u00e9rant ainsi une fausse l\u00e9gitimit\u00e9 \u00e0 leurs actions et aux r\u00e9f\u00e9rentiels associ\u00e9s. \u00bb<\/p>\n<p>Diff\u00e9rentes cat\u00e9gories de comptes GitHub sont responsables d&#8217;aspects distincts du syst\u00e8me dans le but de rendre leur infrastructure plus r\u00e9siliente aux efforts de retrait de GitHub lorsque des charges utiles malveillantes sont signal\u00e9es sur la plateforme.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Il s&#8217;agit notamment des comptes qui servent le mod\u00e8le de r\u00e9f\u00e9rentiel de phishing, des comptes qui fournissent l&#8217;image du mod\u00e8le de phishing et des comptes qui envoient des logiciels malveillants vers les r\u00e9f\u00e9rentiels sous la forme d&#8217;une archive prot\u00e9g\u00e9e par mot de passe se faisant passer pour des logiciels pirat\u00e9s et des astuces de jeu.<\/p>\n<p>Si le troisi\u00e8me ensemble de comptes est d\u00e9tect\u00e9 et banni par GitHub, Stargazer Goblin proc\u00e8de \u00e0 la mise \u00e0 jour du r\u00e9f\u00e9rentiel de phishing du premier compte avec un nouveau lien vers une nouvelle version malveillante active, permettant ainsi aux op\u00e9rateurs d&#8217;avancer avec un minimum de perturbations.<\/p>\n<p>En plus d&#8217;aimer les nouvelles versions de plusieurs r\u00e9f\u00e9rentiels et d&#8217;appliquer des modifications aux fichiers README.md pour modifier les liens de t\u00e9l\u00e9chargement, il existe des preuves sugg\u00e9rant que certains comptes faisant partie du r\u00e9seau ont d\u00e9j\u00e0 \u00e9t\u00e9 compromis, les informations d&#8217;identification ayant probablement \u00e9t\u00e9 obtenues via un logiciel malveillant voleur.<\/p>\n<p>\u00ab La plupart du temps, nous observons que les comptes Repository et Stargazer ne sont pas affect\u00e9s par les interdictions et les suppressions de r\u00e9f\u00e9rentiels, tandis que les comptes Commit et Release sont g\u00e9n\u00e9ralement bannis une fois que leurs r\u00e9f\u00e9rentiels malveillants sont d\u00e9tect\u00e9s \u00bb, a d\u00e9clar\u00e9 Terefos.<\/p>\n<p>\u00ab Il est courant de trouver des r\u00e9f\u00e9rentiels de liens contenant des liens vers des r\u00e9f\u00e9rentiels de versions interdits. Lorsque cela se produit, le compte Commit associ\u00e9 au r\u00e9f\u00e9rentiel de liens met \u00e0 jour le lien malveillant avec un nouveau. \u00bb<\/p>\n<p>L&#8217;une des campagnes d\u00e9couvertes par Check Point implique l&#8217;utilisation d&#8217;un lien malveillant vers un r\u00e9f\u00e9rentiel GitHub qui, \u00e0 son tour, pointe vers un script PHP h\u00e9berg\u00e9 sur un site WordPress et fournit un fichier d&#8217;application HTML (HTA) pour finalement ex\u00e9cuter Atlantida Stealer au moyen d&#8217;un script PowerShell.<\/p>\n<p>D&#8217;autres familles de malwares propag\u00e9es via le DaaS sont Lumma Stealer, RedLine Stealer, Rhadamanthys et RisePro. Check Point a \u00e9galement not\u00e9 que les comptes GitHub font partie d&#8217;une solution DaaS plus vaste qui exploite des comptes fant\u00f4mes similaires sur d&#8217;autres plateformes telles que Discord, Facebook, Instagram, X et YouTube.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1722245770_733_Stargazer-Goblin-cree-3-000-faux-comptes-GitHub.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1722245770_733_Stargazer-Goblin-cree-3-000-faux-comptes-GitHub.png\" alt=\"Comptes GitHub pour la propagation de logiciels malveillants\" border=\"0\" data-original-height=\"526\" data-original-width=\"1032\" title=\"Comptes GitHub pour la propagation de logiciels malveillants\"\/><\/a><\/div>\n<p>\u00ab Stargazer Goblin a cr\u00e9\u00e9 une op\u00e9ration de distribution de logiciels malveillants extr\u00eamement sophistiqu\u00e9e qui \u00e9vite la d\u00e9tection car GitHub est consid\u00e9r\u00e9 comme un site Web l\u00e9gitime, contourne les soup\u00e7ons d&#8217;activit\u00e9s malveillantes et minimise et r\u00e9cup\u00e8re tout dommage lorsque GitHub perturbe son r\u00e9seau \u00bb, a d\u00e9clar\u00e9 Terefos.<\/p>\n<p>\u00ab L&#8217;utilisation de plusieurs comptes et profils effectuant diff\u00e9rentes activit\u00e9s, de la mise en vedette \u00e0 l&#8217;h\u00e9bergement du r\u00e9f\u00e9rentiel, en passant par la validation du mod\u00e8le de phishing et l&#8217;h\u00e9bergement de versions malveillantes, permet au r\u00e9seau fant\u00f4me Stargazers de minimiser ses pertes lorsque GitHub effectue des actions visant \u00e0 perturber ses op\u00e9rations, car g\u00e9n\u00e9ralement, une seule partie de l&#8217;ensemble de l&#8217;op\u00e9ration est perturb\u00e9e au lieu de tous les comptes impliqu\u00e9s. \u00bb<\/p>\n<p>Cette \u00e9volution intervient alors que des acteurs de menaces inconnus sont <a rel=\"nofollow noopener\" href=\"https:\/\/www.kaspersky.com\/blog\/github-phishing-attacks-gitloker\/51557\/\" target=\"_blank\">ciblage<\/a> Les d\u00e9p\u00f4ts GitHub ont \u00e9t\u00e9 vid\u00e9 de leur contenu et les victimes ont \u00e9t\u00e9 invit\u00e9es \u00e0 contacter un utilisateur nomm\u00e9 Gitloker sur Telegram dans le cadre d&#8217;une nouvelle op\u00e9ration d&#8217;extorsion en cours depuis f\u00e9vrier 2024.<\/p>\n<p>L&#8217;attaque d&#8217;ing\u00e9nierie sociale cible les d\u00e9veloppeurs avec des e-mails de phishing envoy\u00e9s depuis \u00ab notifications@github.com \u00bb, dans le but de les inciter \u00e0 cliquer sur de faux liens sous le couvert d&#8217;une offre d&#8217;emploi chez GitHub, apr\u00e8s quoi ils sont invit\u00e9s \u00e0 autoriser une nouvelle application OAuth qui efface tous les r\u00e9f\u00e9rentiels et exige un paiement en \u00e9change de la restauration de l&#8217;acc\u00e8s.<\/p>\n<p>Cela fait \u00e9galement suite \u00e0 un avis de Truffle Security selon lequel il est possible d&#8217;acc\u00e9der \u00e0 des donn\u00e9es sensibles \u00e0 partir de forks supprim\u00e9s, de r\u00e9f\u00e9rentiels supprim\u00e9s et m\u00eame de r\u00e9f\u00e9rentiels priv\u00e9s sur GitHub, exhortant les organisations \u00e0 prendre des mesures pour se prot\u00e9ger contre ce qu&#8217;il appelle une vuln\u00e9rabilit\u00e9 Cross Fork Object Reference (CFOR).<\/p>\n<p>\u00ab Une vuln\u00e9rabilit\u00e9 CFOR se produit lorsqu&#8217;un fork de r\u00e9f\u00e9rentiel peut acc\u00e9der \u00e0 des donn\u00e9es sensibles \u00e0 partir d&#8217;un autre fork (y compris des donn\u00e9es provenant de forks priv\u00e9s et supprim\u00e9s) \u00bb, Joe Leon <a rel=\"nofollow noopener\" href=\"https:\/\/trufflesecurity.com\/blog\/anyone-can-access-deleted-and-private-repo-data-github\" target=\"_blank\">dit<\/a>\u00ab Similaire \u00e0 une r\u00e9f\u00e9rence d&#8217;objet directe non s\u00e9curis\u00e9e, dans CFOR, les utilisateurs fournissent des hachages de validation pour acc\u00e9der directement aux donn\u00e9es de validation qui autrement ne leur seraient pas visibles. \u00bb<\/p>\n<p>En d&#8217;autres termes, un morceau de code valid\u00e9 dans un r\u00e9f\u00e9rentiel public peut \u00eatre accessible \u00e0 tout moment tant qu&#8217;il existe au moins un fork de ce r\u00e9f\u00e9rentiel. De plus, il pourrait \u00e9galement \u00eatre utilis\u00e9 pour acc\u00e9der au code valid\u00e9 entre le moment o\u00f9 un fork interne est cr\u00e9\u00e9 et celui o\u00f9 le r\u00e9f\u00e9rentiel est rendu public.<\/p>\n<p>Il convient toutefois de noter qu&#8217;il s&#8217;agit de d\u00e9cisions de conception intentionnelles prises par GitHub, car <a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/pull-requests\/collaborating-with-pull-requests\/working-with-forks\/about-permissions-and-visibility-of-forks\" target=\"_blank\">not\u00e9<\/a> par le <a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/pull-requests\/collaborating-with-pull-requests\/working-with-forks\/what-happens-to-forks-when-a-repository-is-deleted-or-changes-visibility\" target=\"_blank\">entreprise<\/a> dans sa propre documentation &#8211;<\/p>\n<ul>\n<li>Les commits effectu\u00e9s dans n&#8217;importe quel r\u00e9f\u00e9rentiel d&#8217;un r\u00e9seau de forks sont accessibles \u00e0 partir de n&#8217;importe quel r\u00e9f\u00e9rentiel du m\u00eame r\u00e9seau de forks, y compris le r\u00e9f\u00e9rentiel en amont<\/li>\n<li>Lorsque vous changez un r\u00e9f\u00e9rentiel priv\u00e9 en r\u00e9f\u00e9rentiel public, tous les commits de ce r\u00e9f\u00e9rentiel, y compris tous les commits effectu\u00e9s dans les r\u00e9f\u00e9rentiels dans lesquels il a \u00e9t\u00e9 fork\u00e9, seront visibles par tout le monde.<\/li>\n<\/ul>\n<p>\u00ab L\u2019utilisateur moyen consid\u00e8re la s\u00e9paration des r\u00e9f\u00e9rentiels priv\u00e9s et publics comme une limite de s\u00e9curit\u00e9 et croit naturellement que les donn\u00e9es situ\u00e9es dans un r\u00e9f\u00e9rentiel priv\u00e9 ne sont pas accessibles aux utilisateurs publics \u00bb, a d\u00e9clar\u00e9 Leon.<\/p>\n<p>&#8220;Malheureusement, [&#8230;] ce n&#8217;est pas toujours vrai. De plus, l&#8217;acte de suppression implique la destruction des donn\u00e9es. Comme nous l&#8217;avons vu ci-dessus, la suppression d&#8217;un d\u00e9p\u00f4t ou d&#8217;un fork ne signifie pas que vos donn\u00e9es de validation sont r\u00e9ellement supprim\u00e9es.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/stargazer-goblin-creates-3000-fake.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur malveillant connu sous le nom de Stargazer Goblin a mis en place un r\u00e9seau de comptes GitHub non authentiques pour alimenter une distribution en tant que service (DaaS) qui propage une vari\u00e9t\u00e9 de logiciels malveillants voleurs d&#8217;informations et leur rapporte 100 000 $ de profits illicites au cours de l&#8217;ann\u00e9e \u00e9coul\u00e9e. Le r\u00e9seau, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1258002,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,4168,4493,15068,4158,4165,133,773,5971,50438,234516,238584,200271,4589,4590,238334,98340,185,238617,4172,4169,244236,4166,238583],"class_list":["post-1258001","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-comptes","tag-cree","tag-cyber-actualites","tag-cyber-attaques","tag-des","tag-diffuser","tag-faux","tag-github","tag-goblin","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-malveillants","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pour","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-stargazer","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1258001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1258001"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1258001\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1258002"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1258001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1258001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1258001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}