GitHub aracılığıyla kötü amaçlı yazılım dağıtımı: Hayalet hesap ağı keşfedildi
Check Point güvenlik araştırmacıları GitHub'da kötü amaçlı yazılım dağıtan bir hayalet hesap ağı keşfetti. Kötü amaçlı yazılım içeren depolara ek olarak Stargazers Ghost Network, kötü amaçlı kodun GitHub aracılığıyla verimli bir şekilde dağıtılmasına yönelik hizmetler sunar.
Duyuru
Ağın arkasında, hizmetlerini en az Haziran 2023'ten beri sunan Stargazer Goblin kullanıcısı yer alıyor. Ancak Check Point, ilk kampanyaların Ağustos 2022'de başladığını varsayıyor.
Hayalet hesaplarla kimlik avı
Check Point Security'nin tahminlerine göre ağ, 3.000 kadar hesaptan oluşuyor ve bunların yalnızca bir kısmı, kötü amaçlı kod veya kötü amaçlı yazılım bağlantılarına sahip depoları yönetiyor. Bağlantılar kısmen harici web sitelerine, kısmen de kötü amaçlı kodun bulunduğu diğer GitHub depolarının yayın alanına yönlendiriyor. GitHub'un tarayıcılarının kötü amaçlı yazılımı tespit edememesi için muhtemelen parola korumalıdır.
Ancak çoğu hesapta içerik depoları yoktur; bunun yerine, kötü amaçlı yazılım depolarının itibarını artırmaya ve böylece normal açık kaynak depoları gibi görünmelerine hizmet eder.
Kötü amaçlı yazılımı dağıtmak için, farklı depolara sahip birkaç hesap, kötü amaçlı kodu barındırmaktan, bağlantının bulunduğu Benioku dosyasına ve hayalet hesaplar aracılığıyla “yıldız eklemeye” kadar birlikte çalışır.
(Resim: Kontrol Noktası Araştırması)
Önemli bir GitHub ölçümü, deponun üzerinde görüntülenen yıldızların sayısıdır. Birçok yıldız, birçok kullanıcının zaten içerikle ilgilendiğini bildiriyor. İngilizce'de yıldızların atanması denildiği için Stargazer adı muhtemelen bu “başrol oyunculuğuna” yöneliktir. Hayalet hesaplar tarafından dağıtılan yıldızlar, depoya iyi bir itibar kazandırır.
Ancak hepsi bu kadar değil: Görünüşe göre bazı hesaplar depoları çatallamış durumda, bu da koda olan ilginin yüksek olduğunu gösteriyor. Mart ayında ortaya çıkan ve kötü amaçlı yazılım dağıtmak için sayısız klon deposunu kullanan saldırının aksine, Stargazer Goblin, yıldızların genelindeki miktardan ziyade (varsayılan) kaliteye güveniyor gibi görünüyor.
Check Point, keşfettiği bir modele dayanarak hayalet hesapların sayısını tahmin ediyor: Basit bir kullanıcı adı ve ardından bir sayı. Her ikisi de ilgili Benioku dosyasında tekrarlanır. Ek lisans dosyası dışında depolar boştur.
1.100 kadar hesap, Stargazer'ın hayalet hesap içeriği için kullandığı standart modelle eşleşiyor.
(Resim: Kontrol Noktası Araştırması)
Sığacak şekilde uyarlandı
Saldırganlar, depolarındaki şablonları kullanarak TikTok, Twitch ve Instagram gibi farklı platformlara uyarlayıp farklı depolara dağıtıyorlar. Oyuncular için hileler veya etkileyiciler için takipçi sayısını artırmaya yönelik araçlar içeren bireysel modeller, farklı hedef grupların ilgisini çekmektedir.
Farklı kötü amaçlı yazılım aileleri kullanıyorlar. Bir saldırı dalgasında ağ, diğer şeylerin yanı sıra kimlik bilgilerine ve kripto para birimlerine müdahale eden Atlantida Stealer'ı devreye soktu. Check Point Research'e göre dört günde 1.300 kişi saldırının kurbanı oldu. O zamanlar GitHub depolarına bağlantılar muhtemelen Discord aracılığıyla dağıtılıyordu. Saldırganlar ele geçirilen WordPress sitelerini ara durak olarak kullandı. İki hafta içinde Rhadamanthys kötü amaçlı yazılımını içeren başka bir saldırı 1.000 kadar kullanıcıya ulaştı. Ağ ayrıca Lumma Stealer, RedLine ve RisePro'nun da dağıtımını yaptı.
GitHub deposundaki bağlantıdan gerçek Atlantida Stealer'a giden yol, birkaç WordPress sayfasından geçti ve gerçek kötü amaçlı yazılımı PowerShell aracılığıyla indirmek için gizlenmiş Visual Basic kodunu kullandı.
(Resim: Kontrol Noktası Güvenliği)
Güvenlik uzmanları, Stargazer Goblin'in saldırıları GitHub ve YouTube, Discord, Instagram, X ve Facebook gibi diğer platformlara giriş verilerini elde etmek ve saldırıya uğrayan hesapları hayalet hesap ağlarına dahil etmek için de kullandığından şüpheleniyor.
Hizmet sağlayıcı olarak Stargazer
Stargazer Goblin ayrıca hizmet olarak hayalet hesap ağı da sunuyor. Temmuz ayının başlarında, Check Point Research, bir dark web forumunda İngilizce ve Rusça dillerinde, öncelikle GitHub depoları için yıldız verme ve diğer hizmetleri listeleyen bir reklam buldu: 100 yıldızın maliyeti 10 dolardı. Ayrıca çatallar, saatler ve klon depoları için genişletilmiş teklifler de mevcuttur.
GitHub yıldızlarını veya çatallarını mı arıyorsunuz? Stargazers Ghost Network'ün bazı teklifleri var.
(Resim: Kontrol Noktası Araştırması)
Daha fazla ayrıntıyı Checkpoint Security blogunda bulabilirsiniz. Başka bir Check Point Research makalesi her saldırının ayrıntılarını ele alıyor.
(kendim)