شبکه مخفی انتشار بدافزار و لینکهای فیشینگ در گیتهاب
شبکهی گستردهای از حسابهای کاربری جعلی در گیتهاب شناسایی شد که از این پلتفرم برای انتشار لینکهای فیشینگ و بدافزار استفاده کردهاند.
پژوهشگران امنیتی شرکت چکپوینت (Check Point) شبکهای مخفی متشکل از حدود ۳۰۰۰ حساب کاربری جعلی در گیتهاب کشف کردهاند که از این پلتفرم برای تبلیغ بدافزار و لینکهای فیشینگ سوءاستفاده میکنند. محققان این گروه را Stargazer Goblin نامیدهاند و فعالیتشان حداقل از ژوئن ۲۰۲۳ در گیتهاب (دی و بهمن ۱۴۰۱) آغاز شده است.
گیتهاب میلیونها پروژه از توسعهدهندگان سرتاسر دنیا را میزبانی میکند و Stargazer Goblin از ابزارهای جامعهی این پلتفرم برای افزایش بازدید و اعتبار ظاهری مخزنهای کد مخرب استفاده کرده است.
آنتونیوس ترِفوس، مهندس معکوس بدافزار در Check Point که این شبکهی Stargazer Goblin را کشف کرده است، بر پیچیدگی عملیات سایبری گروه مذکور تأکید دارد. او میگوید اگرچه گیتهاب قبلاً نیز هدف مجرمین سایبری قرار گرفته بود، اما وسعت و روش Stargazer Goblin بیسابقه به نظر میرسد.
براساس گزارش چکپوینت، مخزنهای کد Stargazer Goblin ازطریق کانال تلگرام مرتبط با جرائم سایبری و بازارهای سیاه مختلف خریدوفروش میشوند. مجرمین سایبری، مشتریان و قربانیان آنها، از بستر تلگرام استفاده میکنند. ترِفوس میگوید او هرگز چنین شبکهای از حسابهای کاربری جعلی را ندیده بود که با این روش در گیتهاب فعالیت کنند.
براساس یافتههای چکپینت، شبکهی Stargazer Goblin بدافزارها را بهعنوان ابزارهای مشروع برای رسانههای اجتماعی، بازی و اپلیکیشنهای کاربردی ارزهای دیجیتال جا میزند. برخی از نمونههای کشفشده شامل کدهایی برای اجرای VPN یا کرک نرمافزارهایی مانند ادوبی فتوشاپ بود. چنین مخزنهایی کاربران ویندوزی را که بهدنبال نرمافزار رایگان آنلاین هستند، هدف قرار میدهند.
شبکهی Stargazer Goblin از سایر هکرها برای استفاده از خدماتش هزینه دریافت میکند. Check Point انواع مختلفی از بدافزارهای توزیعشده ازطریق این شبکه را شناسایی کرد که شامل Atlantida ، Rhadamanthys و Lumma میشوند. درواقع ترِفوس این شبکه را هنگام بررسی نمونههایی از بدافزار Atlantida کشف کرد.
Stargazer Goblin تبلیغات خود را در انجمنهای جرائم سایبری منتشر میکند و کانال تلگرامی آن خدماتی مانند ۱۰۰ توکن Stars به ازای ۱۰ دلار و ۵۰۰ توکن Stars به ازای ۵۰ دلار ارائه میدهد. این شبکه همچنین امکان کلونکردن مخزنهای موجود و ارائهی حسابهای کاربری معتبر را نیز ارائه میکند. تحقیقات چکپوینت نشان میدهد این گروه از آغاز فعالیت خود تاکنون حدود ۱۰۰ هزار دلار درآمد داشته است.
ترِفوس میگوید مخزنهای معتبر کد در گیتهاب سرقت و به مخزنهای مخرب تبدیل شدهاند. کاربران میتوانند با انشعاب (Fork) این مخزنها، کدهای مخرب را بهطور ناخواسته گسترش دهند. ابزارهای خودکار با تشخیص ویژگیهای مشترک مانند الگوها و تگهای مشابه، در شناسایی حسابهای کاربری مرتبط با این شبکه به ترِفوس کمک کرد.
هنگامی که گیتهاب حسابهای مرتبط با کمپینهای بدافزار غیرقانونی را شناسایی کند، آن حسابها بهدلیل نقض قوانین غیرفعال میشوند. الکسیس ولز، معاون رئیس عملیات امنیتی در گیتهاب میگوید این شرکت تیمهای اختصاصی برای شناسایی و حذف محتوا و حسابهای جعلی دارد و تیمها از ترکیب بررسیهای دستی و شناسایی در مقیاس گسترده با استفاده از یادگیری ماشین برای شناسایی رفتارهای مشکوک استفاده میکنند.
گیتهاب با بیش از ۱۰۰ میلیون کاربر و ۴۲۰ میلیون مخزن، هدف بسیار بزرگ بهحساب میآید. این جامعهی کاربری بزرگ، موضوع پنهانشدن مجرمین سایبری میان کاربران را به چالشی سخت تبدیل کرده است و میتوان یافتن آنها را به یافتن سوزنی در انبار کاه تشبیه کرد.
جیک مور، مشاور امنیت سایبری جهانی در شرکت امنیتی Eset، درمورد خطرات دانلود کدهای مخرب به کاربران گیتهاب هشدار داد. نشانههای مخزنهای مخرب شامل تغییرات غیرمنتظره در کد، دسترسی کد به منابع خارجی و اعتبارنامهها یا کلیدهای API کدگذاریشده میشوند.
این احتمال وجود دارد شبکهی Stargazer Goblin گستردهتر از چیزی باشد که محققان تشخیص دادهاند. ترِفوس تأکید میکند که هنوز ابعاد فعالیتهای این شبکه بهطور کامل مشخص نشدهاند.