Un gruppo di hacker noto come 'Stargazer Goblin' ha creato un sofisticato servizio di distribuzione malware sfruttando oltre 3.000 account falsi su GitHub. Questo sistema, chiamato Stargazers Ghost Network, utilizza repository GitHub e siti WordPress compromessi per diffondere archivi protetti da password contenenti software dannoso.
La ricerca condotta da Check Point Research ha rivelato che si tratta del primo caso documentato di un'operazione così vasta e organizzata su GitHub. Il malware distribuito include principalmente infostealer come RedLine, Lumma Stealer, Rhadamanthys, RisePro e Atlantida Stealer.
Come funziona il sistema di distribuzione
Gli hacker hanno creato centinaia di repository utilizzando migliaia di account falsi su GitHub. Questi account interagiscono tra loro per aumentare la visibilità e l'apparente legittimità dei repository malevoli, rendendoli più propensi ad apparire nelle sezioni in tendenza della piattaforma.
I repository utilizzano nomi di progetti e tag che mirano a interessi specifici come criptovalute, gaming e social media per attirare le vittime.
Gli account 'fantasma' hanno ruoli distinti nell'operazione e sono suddivisi in tre gruppi con compiti specifici:
- Servire il modello di phishing
- Fornire l'immagine di phishing
- Distribuire il malware
Questa suddivisione dei compiti conferisce al sistema una certa resilienza operativa. Quando GitHub rileva e banna un account che distribuisce malware, gli hacker aggiornano semplicemente il repository di phishing con un nuovo link, minimizzando così le perdite.
Portata e profitti dell'operazione
Check Point stima che il gruppo criminale abbia guadagnato oltre 100.000 dollari dal lancio del servizio. L'operazione sfrutta anche altri canali, come YouTube, per indirizzare il traffico verso i repository di phishing o i siti di distribuzione malware.
Nonostante GitHub abbia rimosso oltre 1.500 repository malevoli da maggio 2024, i ricercatori affermano che più di 200 sono ancora attivi e continuano a distribuire malware.
Come proteggersi
Gli utenti che accedono ai repository GitHub attraverso pubblicità, risultati di ricerca Google, video YouTube, Telegram o social media devono essere molto cauti con i download di file e i link su cui cliccano. Bisogna prestare particolare attenzione agli archivi protetti da password, che non possono essere scansionati dagli antivirus.
Il consiglio è quello di estrarre questi file su una macchina virtuale e scansionare il contenuto con un antivirus, oppure utilizzare VirusTotal, che può analizzare il contenuto di un archivio protetto se contiene un singolo file.