Stargazer Goblin, un actor de amenazas, ha puesto en marcha una red de más de 3,000 cuentas falsas en GitHub para difundir malware y robar información, generando $100,000 en ganancias ilícitas durante el último año. Este esquema, nombrado «Red Fantasma de Stargazer» por Check Point, implica miles de repositorios que comparten enlaces maliciosos o malware.
El método ha propagado varias familias de malware, como Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine. Además de distribuir malware, las cuentas falsas realizan actividades que las hacen parecer usuarios normales, otorgando falsa legitimidad a sus acciones y a los repositorios asociados.
Las cuentas de GitHub involucradas en esta operación tienen distintas responsabilidades, desde plantillas de phishing hasta distribuir malware en forma de archivos protegidos con contraseña. Si una cuenta es prohibida, Stargazer Goblin la actualiza para seguir adelante con la menor interrupción posible.
Esta sofisticada operación de distribución de malware evita la detección, ya que permite a los operadores seguir adelante con la menor interrupción posible. Además, forma parte de una solución DaaS más amplia que opera con cuentas falsas similares en otras plataformas como Discord, Facebook, Instagram, X y YouTube.
La noticia también destaca que actores desconocidos han estado eliminando contenido en repositorios de GitHub y solicitando a las víctimas que contacten a un usuario llamado Gitloker en Telegram como parte de una nueva operación de extorsión que ha estado ocurriendo desde febrero del 2024.
Además, insta a las organizaciones a protegerse contra una vulnerabilidad de Referencia Cruzada de Objeto de Bifurcación (CFOR), que permite el acceso a datos sensibles de bifurcaciones eliminadas, repositorios eliminados e incluso repositorios privados en GitHub.
El análisis publicado la semana pasada revela que GitHub puede ser utilizado para evadir sospechas de actividades maliciosas y minimizar el daño. Esta red de malware es una operación muy sofisticada que evita la detección y sigue adelante con sus actividades ilícitas en GitHub.
Esto viene a raíz de un ataque dirigido a desarrolladores con correos electrónicos de phishing enviados desde «notifications@github.com«, con el objetivo de engañarlos para que hagan clic en enlaces falsos bajo la apariencia de una oportunidad laboral en GitHub. Este ataque se suma a una advertencia de Truffle Security sobre la posible vulnerabilidad de Referencia Cruzada de Objeto de Bifurcación (CFOR) en GitHub.
Vía The Hacker News
