(https://i.postimg.cc/JnMs8Jrk/GitHub.png) (https://postimages.org/)
Los investigadores de Check Point han revelado una sofisticada operación maliciosa "nunca antes vista" en GitHub. Una red de phishing, denominada Stargazers Ghost Network, está propagando malware y apuntando a jugadores, entusiastas de las redes sociales y poseedores de criptomonedas a través de repositorios maliciosos.
GitHub, propiedad de Microsoft, es el mayor servidor de código abierto para 100 millones de desarrolladores y más de 420 millones de repositorios, además de una herramienta de colaboración crucial para los desarrolladores de software.
Los phishers intentan aprovechar esto creando cuentas y repositorios falsos para distribuir malware y enlaces maliciosos.
"Este tipo de operación, en la que se instrumentan cuentas falsas para realizar orgánicamente ataques de phishing para distribuir malware, nunca se había visto antes", dijeron los investigadores de Check Point en el informe.
El operador de la red fue identificado como "Stargazer Goblin". Este actor de amenazas fue descubierto a través de anuncios en la dark web en junio de 2023, que proporcionaban listas de precios para cada acción.
"La sofisticación de esta red radica en su capacidad para hacer que los repositorios maliciosos parezcan legítimos a través de acciones como destacar ("me gusta"), bifurcar ("retwittear") y suscribirse", dijo Check Point.
Las cuentas falsas pueden poseer repositorios que incluyen enlaces maliciosos, potenciarlos con otras cuentas falsas y liberar repositorios maliciosos.
La red se centra en víctimas específicas y se dirige a usuarios que utilizan plantillas y etiquetas de phishing.
Los intereses específicos varían e incluyen redes sociales, juegos, criptomonedas y muchos otros.
Los investigadores advierten que un actor de amenazas es capaz de tener un impacto significativo en los usuarios al propagar infecciones de ransomware, robar credenciales o comprometer billeteras criptográficas.
"Esos repositorios de GitHub actualmente están dirigidos principalmente a usuarios de Windows, aunque se pueden usar métodos de distribución de malware similares para atacar a usuarios de Linux o Android, todos los cuales también tienen grandes bases de datos de usuarios, lo que marca un mayor impacto en la comunidad", dijeron los investigadores.
Según la actividad monitoreada desde mediados de mayo hasta mediados de junio, en menos de un mes, Stargazer Goblin ganó aproximadamente $8,000.
Desde agosto de 2022, cuando la red inició sus actividades, las ganancias de más de 3.000 cuentas fantasma de GitHub podrían superar los 100.000 dólares, estiman los investigadores.
La red opera una Distribución como Servicio (DaaS), distribuyendo varios tipos de malware, incluidos Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine.
"Consideramos muy probable que las cuentas de GitHub Ghost sean solo la punta del iceberg y solo una parte del panorama general, con otras cuentas de Ghost operando en otras plataformas como Twitter, YouTube, Discord, Twitch, Instagram y otras", dijeron los investigadores de Point. Identificaron una cuenta similar de YouTube Ghost que distribuía enlaces maliciosos.
Anteriormente, Cybernews descubrió que una quinta parte de los repositorios de Docker Hub contenían contenido malicioso.
Los usuarios de todas las plataformas deben tener cuidado con los enlaces que contengan ejecutables, ya que incluso los repositorios de buena reputación pueden verse comprometidos y distribuir malware.
Fuente:
CyberNews
https://cybernews.com/security/secretive-phishing-network-distributing-malware-on-github/