GitHub es la plataforma líder para alojamiento de código y proyectos open-source, y un sitio de referencia para descargarnos las últimas versiones de ciertas aplicaciones... pero en los últimos tiempos se ha convertido también en un objetivo atractivo para cibercriminales que buscan usarla para distribuir malware de manera inadvertida entre los desarrolladores.
Recientemente, investigadores de la firma de ciberseguridad Check Point Research han descubierto una red de cuentas fantasmas en GitHub, conocida como Stargazers Ghost Network, que distribuye malware usando los repositorios de esta plataforma... y, más aún, lleva ya un tiempo ofreciendo sus servicios previo pago en la Dark Web para distribuir eficientemente código malicioso a través de GitHub.
Check Point Research estima que el grupo que la opera, Stargazer Goblin, ha ganado más de 100.000 dólares desde que comenzó sus operaciones. Solo entre mayo y junio de 2024, la red generó aproximadamente 8.000 dólares.
Los servicios ofrecidos en foros de la dark web incluyen la venta de estrellas para repositorios, forks, y cuentas "envejecidas" para añadir una capa adicional de legitimidad a los repositorios maliciosos.
Descubrimiento y 'modus operandi'
El investigador Antonis Terefos de Check Point Research fue el primero en revelar esta red sofisticada, la cual actúa como un servicio de distribución de malware ('Distribution as a Service' o DaaS). Según los informes, la red comenzó sus actividades en agosto de 2022 y ha crecido exponencialmente desde entonces.
Un ejemplo de lo efectivo de su labor es Atlantida Stealer, un malware que roba credenciales de usuario y carteras de criptomonedas. Durante una campaña en enero de 2024, este malware infectó a más de 1.300 víctimas en solo cuatro días, tras haberse difundido los enlaces a los repositorios maliciosos a través de canales de Discord.
El nombre 'Stargazer' hace referencia a la práctica de "starring" en GitHub, donde las cuentas fantasmas otorgan estrellas a los repositorios maliciosos para aumentar su visibilidad y credibilidad. Esta táctica ayuda a atraer a las víctimas a descargar el contenido, pensando que se trata de proyectos fiables y populares.
Cuando eso no funciona, y GitHub detecta y elimina una cuenta maliciosa, los operadores de la red rápidamente reemplazan los enlaces rotos, asegurando que las operaciones continúen con mínima interrupción. Este enfoque modular permite a la red recuperarse rápidamente de cualquier acción tomada en su contra.
Vía | CheckPoint Research
Imagen | Marcos Merino mediante IA
Ver 0 comentarios