Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

admin
admin
admin
137989
文章
113
评论
2024年7月25日13:52:07评论22 views字数 4272阅读14分14秒阅读模式

导 

被称为“Stargazer Goblin”的攻击者利用 GitHub 上的 3,000 多个虚假账户创建了一种恶意软件分发服务 (DaaS),用于推送窃取信息的恶意软件。

该恶意软件传播服务名为 Stargazers Ghost Network,它利用 GitHub 存储库以及受感染的 WordPress 网站来分发包含恶意软件的受密码保护的压缩档案。

在大多数情况下,恶意软件都是信息窃取程序,例如 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer。

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

GitHub 存储库推送受密码保护的包含恶意软件的档案,来源:Check Point

由于 GitHub 是一个知名的、值得信赖的服务,人们对它的怀疑较少,并且更有可能点击他们在GitHub存储库中找到的链接。

Check Point Research发现了这一行动,并表示这是首次记录到在 GitHub 上运行如此有组织、大规模的计划。

Check Point Research 的报告(https://research.checkpoint.com/2024/stargazers-ghost-network/)解释道:“Stargazers Ghost Network 发起的活动以及通过该服务分发的恶意软件非常成功。”

“在短时间内,数千名受害者在没有怀疑任何恶意意图的情况下安装了看似合法的存储库中的软件。以受害者为导向的网络钓鱼模板允许威胁组织使用特定的个人资料和在线账户感染受害者,从而使感染更有价值。”

GitHub 幽灵账户传播恶意软件

DaaS 行动的创建者 Stargazer Goblin 自 2023 年 6 月以来一直在暗网上积极推广这个恶意软件分发服务。Check Point 表示有证据表明它自 2022 年 8 月以来一直活跃。

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

威胁行为者在暗网上的广告,来源:Check Point

Stargazer Goblin 建立了一个系统,他们使用3000个虚假的“幽灵”账户创建了数百个存储库。这些账户会为恶意存储库加注星标、分叉和订阅,以增加其表面合法性,并使其更有可能出现在 GitHub 的热门部分。

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

参与该计划的幽灵 GitHub 账户,来源:Check Point

这些存储库使用针对加密货币、游戏和社交媒体等特定兴趣的项目名称和标签。

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

针对不同社交媒体平台用户的网络钓鱼模板,来源:Check Point

“幽灵”账户被赋予了不同的角色。一组账户提供钓鱼模板,另一组提供钓鱼图片,第三组提供恶意软件,这让该方案具有一定程度的运营弹性。

“为恶意软件提供服务的第三个账户更容易被检测到。当这种情况发生时,GitHub 会禁止整个帐户、存储库和相关版本。”研究员Antonis Terefos解释道。

“为了应对此类行为,Stargazer Goblin 会更新第一个帐户的网络钓鱼存储库,其中包含指向新恶意版本的链接。当恶意软件服务帐户被禁止时,这可使网络继续运行,并将损失降至最低。”

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

Stargazers 角色概述资料,来源:Check Point

Check Point 发现一个 YouTube 视频,其中的软件教程链接与“Stargazers Ghost Network”GitHub 存储库中的操作员相同。

研究人员指出,它可能是用于将流量引导至网络钓鱼存储库或恶意软件分发站点的多个渠道示例之一。

就该行动的规模及其产生的利润而言,Check Point 估计,自该服务推出以来,这名攻击者已经赚取了超过 10 万美元。

通过 Stargazers Ghost Network 的行动分发的恶意软件,包括 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等。

在 Check Point 报告中展示的一个示例攻击链中,GitHub 存储库将访问者重定向到受感染的 WordPress 网站,访问者从那里下载包含带有 VBScript 的 HTA 文件的 ZIP 存档。

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

Atlantida Stealer 攻击链,来源:Check Point

VBScript 触发两个连续的 PowerShell 脚本的执行,最终导致 Atlantida Stealer 的部署。

尽管 GitHub 已对许多恶意和本质上虚假的存储库采取了行动,自 2024 年 5 月以来已删除了 1,500 多个存储库,但 Check Point 表示,目前仍有超过 200 个存储库活跃并继续传播恶意软件。

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

GitHub 上每日新增的 Stargazer 存储库,来源:Check Point

建议通过广告、Google 搜索结果、YouTube 视频、Telegram 或社交媒体访问 GitHub 存储库的用户在下载文件和点击 URL 时要格外小心。

受密码保护的档案尤其如此,防病毒软件无法扫描这些档案。对于这些类型的文件,建议您在虚拟机上提取它们,并使用防病毒软件扫描提取的内容以检查是否存在恶意软件。

如果没有虚拟机,您也可以使用VirusTotal,它会提示输入受保护存档的密码,以便扫描其内容。但是,VirusTotal 只能扫描包含单个文件的受保护存档。

技术报告:https://research.checkpoint.com/2024/stargazers-ghost-network/

新闻链接

https://www.bleepingcomputer.com/news/security/over-3-000-github-accounts-used-by-malware-distribution-service/

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

今日安全资讯速递

APT事件

Advanced Persistent Threat

可能与 APT28 相关的黑客瞄准乌克兰的科学机构

https://therecord.media/ukraine-scientific-institutions-espionage-russia

Patchwork 黑客利用先进的 Ratel C4 暴力攻击工具瞄准不丹

https://thehackernews.com/2024/07/patchwork-hackers-target-bhutan-with.html

中东金融机构遭受为期六年的 DDoS 攻击

https://therecord.media/middle-east-financial-institution-6-day-ddos-attack

俄罗斯主要银行遭DDoS攻击,乌克兰声称对此负责

https://therecord.media/major-russian-banks-ddos-attack-ukraine

美国网络安全公司 KnowBe4 错误地雇佣了朝鲜黑客,面临信息窃取攻击

https://www.bleepingcomputer.com/news/security/knowbe4-mistakenly-hires-north-korean-hacker-faces-infostealer-attack/

一般威胁事件

General Threat Incidents

PINEAPPLE 和 FLUXROOT 黑客组织滥用 Google Cloud 进行凭证网络钓鱼

https://thehackernews.com/2024/07/pineapple-and-fluxroot-hacker-groups.html

密歇根医学数据泄露影响 57,000 名患者

https://www.securityweek.com/57000-patients-impacted-by-michigan-medicine-data-breach/

利用 Microsoft Defender 漏洞传播 ACR、Lumma 和 Meduza 窃取程序

https://thehackernews.com/2024/07/microsoft-defender-flaw-exploited-to.html

BreachForums v1 黑客论坛数据泄露,暴露会员信息

https://www.bleepingcomputer.com/news/security/breachforums-v1-hacking-forum-data-leak-exposes-members-info/

史上最大数字盗版泄密案:Z-Library 电子书盗版网站泄露 1000 万份资料

https://cybernews.com/security/zlibrary-copycat-exposes-millions-digital-pirates/

仓鼠快打游戏的 2.5 亿玩家成为恶意软件攻击的目标

https://www.bleepingcomputer.com/news/security/hamster-kombats-250-million-players-targeted-in-android-windows-malware-attacks/

恶意软件分发服务使用了 3,000 多个 GitHub 帐户

https://www.bleepingcomputer.com/news/security/over-3-000-github-accounts-used-by-malware-distribution-service/

漏洞事件

Vulnerability Incidents

Docker 修复存在 5 年之久的关键身份验证绕过漏洞

https://www.bleepingcomputer.com/news/security/docker-fixes-critical-5-year-old-authentication-bypass-flaw/

西门子修复能源供应产品中两个潜在的严重漏洞

https://www.securityweek.com/siemens-patches-power-grid-product-flaw-allowing-backdoor-deployment/

Chrome 127 补丁修复 24 个漏洞

https://www.securityweek.com/chrome-127-patches-24-vulnerabilities/

CISA 将 Twilio Authy 和 IE 漏洞添加到利用漏洞列表中

https://thehackernews.com/2024/07/cisa-adds-twilio-authy-and-ie-flaws-to.html

Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月25日13:52:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件https://cn-sec.com/archives/2997045.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息