黑客滥用程序代码存储库GitHub来传播恶意程序的情况,最近一、两年可说是不断出现,但如今有人大规模经营这类账号提供他人运用,形成庞大的网络犯罪生态圈。
安全企业Check Point披露专门经营GitHub账号网络的黑客组织Stargazers Ghost,对方经营由超过3千个GitHub“幽灵”账号组成的网络,并将其用于传播恶意软件及恶意连接。
黑客为了让这些存储库看起来是正当使用,他们还会为存储库加上星号、创建版本分支,并且订阅其他恶意存储库。
但该组织经营这种网络设施并非单纯自给自足,而是向其他黑客提供租用服务,研究人员将这种服务称作Distribution as a Service(DaaS)。他们看到黑客在2022年8月开始尝试开发及进行测试,并在隔年7月于暗网论坛发布广告吸引买家上门,根据今年5月中旬至6月中旬的监测,他们估计该组织的月收入约为8千美元,截至目前为止,不法获利超过10万美元。
研究人员特别提到,Stargazers Ghost并非只经营GitHub账号提供存储库供网络罪犯运用,因为,他们还发现其他平台的幽灵账号。
究竟他们如何发现这种大规模经营用于传播恶意程序的GitHub账号,研究人员透露最初在经过短期的监控,一口气发现超过2,200个幽灵账号经营的程序代码存储库,而且,在今年1月的发生的网络攻击里,就通过这些存储库传播盗取信息软件Atlantida,并在4天内导致1,300台计算机遭到感染。
至于黑客传播这些存储库的恶意连接的方式,研究人员指出,很有可能通过即时通信软件Discord的频道来进行,对方假借提供破解软件或是与加密货币相关的活动,通过网络钓鱼范本引诱用户上当,目标是想要增加粉丝的YouTube、Twitch、Instagram的经营者。
一般来说,黑客多半是利用GitHub存储库直接作为提供恶意程序的渠道,而这种存储库通常是为了特定攻击行动设置,而且会长时间保持可用状态,不过,这些存储库通常不会有相关的下载指示或是说明。
而Stargazers Ghost的做法彻底改变这样的游戏规则,他们并非利用存储库存放恶意软件,而是在这些存储库提供恶意连接,而这些连接有许多的GitHub“用户”背书,获得大量的“星星”或是“验证”,使其看起来更为真实、合法。
基本上,这些黑客对于特定的群体,会使用相同的标签及图像,研究人员推测这些存储库来自相同的范本,并通过自动化的方式产生。通常这种存储库包含的说明网页(README.md),都会包含恶意的“Download”连接,用户若是点击多半会联网外部网站,但也有重定向其他GitHub存储库的情况。而这些黑客回避GitHub扫描恶意文件的做法,通常就是运用以密码保护的压缩文件来达到目的。
不过,这些黑客并非将所有的GitHub账号都拿来设置前述的恶意存储库,还有另外两种类型的账号,分别提供网络钓鱼范本其中的图片,以及存放内置恶意程序的压缩文件。而对方如此分工的目的,主要在于一旦有部分账号被发现恶意行为遭到停用,他们可以很快处理,而能大幅降低运营的负担。
至于Stargazers Ghost的存储库网络被用来传播那些恶意程序?研究人员看到了RedLine、Lumma Stealer、Rhadamanthys、RisePro,以及Atlantida等多种恶意软件。
研究人员根据他们掌握的情报,滥用GitHub只是这些黑客经营的恶意程序传播服务的一部分,他们很有可能还滥用其他平台,而研究人员则是在其中一个声称提供“免费”版Adobe PhotoShop 2024的GitHub存储库里,看到黑客分享的YouTube视频,印证这项推测。
值得留意的是,他们发现有些GitHub账号并非这些黑客所有,在上述的存储库其中,研究人员看到账号的所有者留言,抗议对方擅自使用他的账号推送存储库的情况。
