.
Uma rede secreta de cerca de 3.000 contas “fantasmas” no GitHub vem manipulando discretamente páginas no site de hospedagem de código para promover malware e links de phishing, de acordo com uma nova pesquisa vista pela WIRED.
Desde pelo menos junho do ano passado, de acordo com pesquisadores da empresa de segurança cibernética Check Point, um cibercriminoso que eles apelidaram de “Stargazer Goblin” vem hospedando repositórios de código malicioso na plataforma de propriedade da Microsoft. O GitHub é o maior site de código aberto do mundo, hospedando o trabalho de milhões de desenvolvedores. Além de enviar repositórios maliciosos, o Stargazer Goblin vem impulsionando as páginas usando as próprias ferramentas da comunidade do GitHub.
Antonis Terefos, um engenheiro reverso de malware na Check Point que descobriu o comportamento nefasto, diz que a persona por trás da rede usa suas contas falsas para “estrelar”, “bifurcar” e “observar” as páginas maliciosas. Essas ações — que são vagamente semelhantes a curtir, compartilhar e assinar, respectivamente — ajudam a fazer as páginas parecerem populares e genuínas. Quanto mais estrelas, mais realista uma página parece. “Os repositórios maliciosos pareciam realmente legítimos”, diz Terefos.
“A maneira como ele desenvolveu isso é realmente inteligente, aproveitando como o GitHub opera”, diz Terefos sobre a pessoa por trás da persona. Enquanto os cibercriminosos têm abusado do GitHub por anos, enviando códigos maliciosos e adaptando repositórios legítimos, Terefos diz que nunca viu uma rede de contas falsas operando dessa forma na plataforma. A compra e venda de repositórios e estrelando é coordenada em um canal do Telegram vinculado ao crime cibernético e mercados criminosos. A WIRED relatou anteriormente sobre outros mercados negros do GitHub.
A Stargazers Ghost Network, que a Check Point nomeou em homenagem a uma das primeiras contas que eles identificaram, tem espalhado repositórios maliciosos do GitHub que oferecem downloads de ferramentas de mídia social, jogos e criptomoedas. Por exemplo, as páginas podem estar alegando fornecer código para executar uma VPN ou licenciar uma versão do Photoshop da Adobe. Elas estão mirando principalmente usuários do Windows, diz a pesquisa, e visam capitalizar pessoas que potencialmente procuram software gratuito online.
O operador por trás da rede cobra de outros hackers para usar seus serviços, que a Check Point chama de “distribuição como serviço”. A rede prejudicial foi flagrada compartilhando vários tipos de ransomware e malware para roubo de informações, diz a Check Point, incluindo o Atlantida Stealer, Rhadamanthys e o Lumma Stealer. Terefos diz que descobriu a rede enquanto pesquisava instâncias do Atlantida Stealer. O pesquisador diz que a rede pode ser maior do que ele espera, pois também viu contas legítimas do GitHub sendo assumidas usando detalhes de login roubados.
“Desabilitamos contas de usuários de acordo com as Políticas de Uso Aceitáveis do GitHub, que proíbem a publicação de conteúdo que apoie diretamente ataques ativos ilegais ou campanhas de malware que estejam causando danos técnicos”, diz Alexis Wales, vice-presidente de operações de segurança do GitHub. “Temos equipes dedicadas a detectar, analisar e remover conteúdo e contas que violem essas políticas.”
O GitHub tem mais de 100 milhões de usuários que contribuíram com mais de 420 milhões de repositórios na plataforma. Dada a amplitude da plataforma, não é surpreendente que cibercriminosos e hackers estejam tentando abusar dela. Nos últimos anos, pesquisadores têm mapeado instâncias de estrelas falsas, localizado códigos perigosos escondidos em projetos, enfrentado crescentes ataques à cadeia de suprimentos contra software de código aberto e visto comentários sendo usados para espalhar malware.
.
