شبكة سرية تضم حوالي 3000 حساب “شبح” على جيثب وقد قام فيروس خبيث بالتلاعب بهدوء بالصفحات على موقع استضافة التعليمات البرمجية للترويج للبرامج الضارة وروابط التصيد، وفقًا لبحث جديد اطلع عليه موقع WIRED.
وفقًا للباحثين في شركة الأمن السيبراني Check Point، منذ يونيو/حزيران من العام الماضي على الأقل، كان مجرم سيبراني أطلقوا عليه اسم “Stargazer Goblin” يستضيف مستودعات أكواد ضارة على المنصة المملوكة لشركة Microsoft. GitHub هو أكبر موقع ويب مفتوح المصدر في العالم، ويستضيف أعمال ملايين المطورين. بالإضافة إلى تحميل مستودعات أكواد ضارة، كان Stargazer Goblin يعزز الصفحات باستخدام أدوات مجتمع GitHub الخاصة.
أنطونيس تيريفوس، مهندس عكسي للبرامج الضارة في نقطة تفتيش اكتشفت السلوك الخبيثيقول تيريفوس إن الشخص الذي يقف وراء الشبكة يستخدم حساباته المزيفة لتمييز الصفحات الخبيثة بنجمة وتقسيمها ومراقبتها. تساعد هذه الإجراءات – التي تشبه إلى حد كبير الإعجاب والمشاركة والاشتراك على التوالي – في جعل الصفحات تبدو شائعة وحقيقية. كلما زاد عدد النجوم، كلما بدت الصفحة أكثر واقعية. يقول تيريفوس: “لقد بدت المستودعات الخبيثة شرعية حقًا”.
يقول تيريفوس عن الشخص الذي يقف وراء هذه الشخصية: “الطريقة التي طورها بها ذكية حقًا، حيث استغل طريقة عمل GitHub”. وفي حين كان مجرمو الإنترنت يسيئون استخدام GitHub لسنوات، تحميل الكود الخبيث و تكييف المستودعات الشرعيةيقول تيريفوس إنه لم يسبق له أن رأى شبكة من الحسابات المزيفة تعمل بهذه الطريقة على المنصة. يتم تنسيق شراء وبيع المستودعات والنجوم على قناة Telegram المرتبطة بالجرائم الإلكترونية والأسواق الإجرامية. وقد ذكرت WIRED سابقًا في الأسواق السوداء الأخرى على GitHub.
كانت شبكة Stargazers Ghost، التي أطلق عليها Check Point اسم أحد الحسابات الأولى التي رصدتها، تنشر مستودعات GitHub الخبيثة التي تقدم تنزيلات لوسائل التواصل الاجتماعي والألعاب وأدوات العملات المشفرة. على سبيل المثال، قد تدعي الصفحات توفير التعليمات البرمجية لتشغيل شبكة VPN أو ترخيص إصدار من برنامج Photoshop من Adobe. وتقول الأبحاث إن هذه الصفحات تستهدف في الغالب مستخدمي Windows، وتهدف إلى الاستفادة من الأشخاص الذين يبحثون عن برامج مجانية عبر الإنترنت.
يتقاضى المشغل الذي يقف وراء الشبكة رسومًا من قراصنة آخرين لاستخدام خدماته، والتي تطلق عليها شركة Check Point اسم “التوزيع كخدمة”. وتقول شركة Check Point إن الشبكة الضارة تم رصدها وهي تشارك أنواعًا مختلفة من برامج الفدية والبرمجيات الخبيثة التي تسرق المعلومات، بما في ذلك سارق الأطلنطي, الراذامانثيس، و ال سارق لومايقول Terefos إنه اكتشف الشبكة أثناء بحثه عن حالات Atlantida Stealer. ويقول الباحث إن الشبكة قد تكون أكبر مما كان يتوقع، حيث رأى أيضًا حسابات GitHub شرعية يتم الاستيلاء عليها باستخدام تفاصيل تسجيل الدخول المسروقة.
“لقد قمنا بتعطيل حسابات المستخدمين وفقًا لـ GitHub” سياسات الاستخدام المقبوليقول أليكسيس ويلز، نائب رئيس عمليات الأمن في GitHub: “تحظر سياسات الخصوصية هذه نشر المحتوى الذي يدعم بشكل مباشر الهجمات النشطة غير القانونية أو حملات البرامج الضارة التي تسبب أضرارًا فنية. لدينا فرق مخصصة للكشف عن المحتوى والحسابات التي تنتهك هذه السياسات وتحليلها وإزالتها”.
يضم GitHub أكثر من 100 مليون مستخدم ساهموا بأكثر من 420 مليون مستودع على المنصة. ونظرًا لاتساع المنصة، فليس من المستغرب أن يحاول مجرمو الإنترنت والمتسللون إساءة استخدامها. في السنوات الأخيرة، كان الباحثون رسم خرائط لحالات النجوم المزيفة، مراقب كود خطير مخفي في المشاريع، تواجه النمو هجمات سلسلة التوريد ضد البرمجيات مفتوحة المصدر، و رؤية التعليقات التي يتم استخدامها لنشر البرامج الضارة.
تبيع جهة التهديد Stargazer Goblin التي حددتها Check Point خدماتها من خلال الإعلانات على منتديات الجرائم الإلكترونية وأيضًا من خلال حساب Telegram. تعلن إحدى المنشورات على منتدى الجرائم الإلكترونية باللغة الروسية عن 100 نجمة مقابل 10 دولارات و500 مقابل 50 دولارًا وتقول إنها يمكن أن توفر نسخًا من المستودعات الموجودة والحسابات الموثوقة. يقول أحد المنشورات المترجمة: “بالنسبة لـ GitHub، تبدو العملية عضوية”. يقول بحث Check Point أن الشبكة ربما بدأت العمل في وقت مبكر من أغسطس 2022 وربما حققت ما يصل إلى 100000 دولار – من منتصف مايو إلى منتصف يونيو من هذا العام، يقدرون أن المشغل حقق حوالي 8000 دولار.
يقول تيريفوس إنه في بعض الحالات، رأى مستودعًا شرعيًا للكود يتم تغييره بواسطة الجهة المهددة، باستخدام بيانات اعتماد مسروقة، وتحويله إلى مستودع ضار. ويقول تيريفوس إنه إذا قام مستخدمون شرعيون بتقسيم مستودع ضار، فمن المحتمل أن ينشر الكود. ويضيف مهندس البرامج الضارة العكسية أنه قام بأتمتة البحث عن الحسابات المرتبطة بالشبكة ويمكنه التعرف عليها بناءً على ميزات مشتركة، مثل المستودعات التي تستخدم قوالب وعلامات مماثلة. تستخدم بعض المستودعات التي شاهدها WIRED اختلافات في علامتي “متابعي Instagram” و”مشاهدات YouTube”، مع تغيير الأسماء بناءً على البرنامج الذي تزعم الصفحة أنها تقدمها.
يقول جيك مور، مستشار الأمن السيبراني العالمي في شركة الأمن Eset: “يمكن لمستخدمي GitHub، وخاصة المستخدمين عديمي الخبرة، تنزيل أكواد ضارة بسهولة، والتي غالبًا ما تكون نتيجة لمراجعات وهمية وعلامات تصنيف”. “قد تكون العلامات الدالة على وجود أكواد ضارة على GitHub أيضًا تغييرات غير متوقعة أو مشبوهة في الكود، أو كود يصل إلى موارد خارجية، أو بيانات اعتماد محددة مبرمجة أو مفاتيح API.”
يقول تيريفوس إن نشاط الشبكة – التحديق ومشاهدة الصفحات – من المرجح أن يكون آليًا، حيث رأى مستودعات البيانات يتم التصرف فيها بتتابع سريع. “لا أعتقد أنهم ينقرون، ويقومون بعمل يدوي”. يقول تيريفوس إنه بالنسبة لـ GitHub، قد يكون من الصعب تحديد هذا النشاط، حيث أن سلوك الحسابات يهدف إلى أن يبدو وكأنه مستخدم GitHub حقيقي. يقول ويلز، من GitHub، إن الشركة تستخدم مزيجًا من المراجعات اليدوية و”الاكتشافات على نطاق واسع” التي تستخدم التعلم الآلي لتحديد النشاط المشبوه
ويقول مهندس Check Point أيضًا إنه حدد حسابًا “شبحًا” واحدًا على YouTube كان يشارك روابط ضارة عبر الفيديو، مما يشير إلى أن الشبكة قد تكون أكثر شمولاً. يقول تيريفوس: “أعتقد أن هذه ليست الصورة الكاملة”.