أنشأ مجرمو الإنترنت المعروفون باسم “Stargazer Goblin” برنامج توزيع البرامج الضارة كخدمة (DaaS) من أكثر من 3000 حساب مزيف على GitHub يقوم بدفع برامج ضارة لسرقة المعلومات.
تُسمى خدمة توصيل البرامج الضارة Stargazers Ghost Network وهي تستخدم مستودعات GitHub إلى جانب مواقع WordPress المخترقة لتوزيع أرشيفات محمية بكلمة مرور تحتوي على برامج ضارة. في معظم الحالات، تكون البرامج الضارة عبارة عن برامج سرقة معلومات، مثل RedLine وLumma Stealer وRhadamanthys وRisePro وAtlantida Stealer.
المصدر: تشيك بوينت
نظرًا لكون GitHub خدمة معروفة وموثوقة، فإن الأشخاص يعاملونها بقدر أقل من الشك وقد يكونون أكثر ميلًا إلى النقر على الروابط التي يجدونها في مستودعات الخدمة.
نقطة تفتيش البحث تم اكتشاف العملية، والتي يقال إنها المرة الأولى التي يتم فيها توثيق مثل هذا المخطط المنظم والواسع النطاق على GitHub.
ويوضح التقرير الذي أعدته شركة Check Point Research أن “الحملة التي تقوم بها شبكة Stargazers Ghost والبرامج الضارة الموزعة عبر هذه الخدمة ناجحة للغاية”.
“في فترة قصيرة من الزمن، قام آلاف الضحايا بتثبيت برامج من مصدر يبدو أنه مستودع شرعي دون الشك في أي نية خبيثة. تسمح قوالب التصيد الاحتيالي الموجهة بشكل كبير للضحايا لمرتكبي التهديدات بإصابة الضحايا بملفات تعريف وحسابات عبر الإنترنت محددة، مما يجعل العدوى أكثر قيمة.”
“أشباح” موقع GitHub تنشر البرمجيات الخبيثة
كان منشئ عملية DaaS، Stargazer Goblin، يروج بنشاط لخدمة توزيع البرامج الضارة على الويب المظلم منذ يونيو 2023. ومع ذلك، تقول Check Point أن هناك أدلة على أنها كانت نشطة منذ أغسطس 2022.
المصدر: تشيك بوينت
أنشأ Stargazer Goblin نظامًا حيث يقومون بإنشاء مئات المستودعات باستخدام ثلاثة آلاف حساب وهمي “شبح”. تقوم هذه الحسابات بإنشاء نجوم وتقسيم واشتراك في مستودعات ضارة لزيادة شرعيتها الظاهرية وزيادة احتمالية ظهورها في قسم الموضوعات الشائعة على GitHub.
المصدر: تشيك بوينت
تستخدم المستودعات أسماء المشاريع والعلامات التي تستهدف اهتمامات محددة مثل العملات المشفرة والألعاب ووسائل التواصل الاجتماعي.
المصدر: تشيك بوينت
يتم تعيين أدوار مختلفة للحسابات “الشبحية”. حيث تقوم مجموعة واحدة بخدمة قالب التصيد الاحتيالي، وتوفر مجموعة أخرى صورة التصيد الاحتيالي، وتخدم مجموعة ثالثة البرامج الضارة، مما يمنح المخطط مستوى معينًا من المرونة التشغيلية.
“الحساب الثالث، الذي يخدم البرامج الضارة، من المرجح أن يتم اكتشافه. عندما يحدث هذا، يحظر GitHub الحساب بالكامل والمستودع والإصدارات المرتبطة به”، يوضح الباحث أنطونيس تيريفوس.
“ردًا على مثل هذه الإجراءات، يقوم Stargazer Goblin بتحديث مستودع التصيد الاحتيالي للحساب الأول برابط جديد لإصدار ضار نشط جديد. يتيح هذا للشبكة الاستمرار في العمل بأقل الخسائر عند حظر حساب يقدم برامج ضارة.”
المصدر: تشيك بوينت
لاحظت شركة Check Point حالة فيديو على موقع YouTube يحتوي على برنامج تعليمي مرتبط بنفس العميل الموجود في أحد مستودعات GitHub الخاصة بـ “Stargazers Ghost Network”.
وأشار الباحثون إلى أن هذا قد يكون أحد الأمثلة المتعددة المحتملة للقنوات المستخدمة لتوجيه حركة المرور إلى مستودعات التصيد أو مواقع توزيع البرامج الضارة.
ومن حيث حجم العملية والأرباح التي تولدها، تقدر شركة Check Point أن الجهة المهاجمة حققت أكثر من 100 ألف دولار منذ إطلاق الخدمة.
أما بالنسبة للبرمجيات الخبيثة التي يتم توزيعها من خلال عملية Stargazers Ghost Network، فتقول Check Point إنها تشمل RedLine وLumma Stealer وRhadamanthys وRisePro وAtlantida Stealer وغيرها.
في أحد نماذج سلسلة الهجوم المقدمة في تقرير Check Point، يقوم مستودع GitHub بإعادة توجيه الزوار إلى موقع WordPress مخترق، حيث يقومون بتنزيل أرشيف ZIP يحتوي على ملف HTA باستخدام VBScript.
المصدر: تشيك بوينت
يقوم VBScript بتحفيز تنفيذ برنامجين نصيين متتاليين من PowerShell مما يؤدي في النهاية إلى نشر Atlantida Stealer.
على الرغم من أن GitHub قد اتخذ إجراءات ضد العديد من المستودعات الخبيثة والمزيفة بشكل أساسي، حيث قام بإغلاق أكثر من 1500 منذ مايو 2024، تقول Check Point أن أكثر من 200 منها نشطة حاليًا وتستمر في توزيع البرامج الضارة.
المصدر: تشيك بوينت
يُنصح المستخدمون الذين يصلون إلى مستودعات GitHub من خلال الإعلانات الضارة أو نتائج بحث Google أو مقاطع فيديو YouTube أو Telegram أو وسائل التواصل الاجتماعي بأن يكونوا حذرين للغاية مع تنزيلات الملفات وعناوين URL التي ينقرون عليها.
ينطبق هذا بشكل خاص على الأرشيفات المحمية بكلمة مرور، والتي لا يمكن فحصها بواسطة برنامج مكافحة الفيروسات. بالنسبة لهذه الأنواع من الملفات، يُنصح باستخراجها على جهاز افتراضي وفحص المحتويات المستخرجة باستخدام برنامج مكافحة الفيروسات للتحقق من وجود برامج ضارة.
إذا لم تكن الآلة الافتراضية متاحة، فيمكنك أيضًا استخدامها فايروس توتال، والذي سيطالبك بإدخال كلمة المرور الخاصة بالأرشيف المحمي حتى تتمكن من فحص محتوياته. ومع ذلك، لا يمكن لبرنامج VirusTotal فحص الأرشيف المحمي إلا إذا كان يحتوي على ملف واحد.