امنیت

فناوری اطلاعات

July 29, 2024
19:35 دوشنبه، 8ام مردادماه 1403
کد خبر: 170802

شبکه مخفی انتشار بدافزار و لینک‌های فیشینگ در گیت‌هاب

منبع: Zoomit

شبکه‌ی گسترده‌ای از حساب‌های کاربری جعلی در گیت‌هاب شناسایی شد که از این پلتفرم برای انتشار لینک‌های فیشینگ و بدافزار استفاده کرده‌اند.

پژوهشگران امنیتی شرکت چک‌پوینت (Check Point) شبکه‌ای مخفی متشکل از حدود ۳۰۰۰ حساب کاربری جعلی در گیت‌هاب کشف کرده‌اند که از این پلتفرم برای تبلیغ بدافزار و لینک‌های فیشینگ سوءاستفاده می‌کنند. محققان این گروه را Stargazer Goblin نامیده‌اند و فعالیتشان حداقل از ژوئن ۲۰۲۳ در گیت‌هاب (دی و بهمن ۱۴۰۱) آغاز شده است.

گیت‌هاب میلیون‌ها پروژه از توسعه‌دهندگان سرتاسر دنیا را میزبانی می‌کند و Stargazer Goblin از ابزارهای جامعه‌ی این پلتفرم برای افزایش بازدید و اعتبار ظاهری مخزن‌های کد مخرب استفاده کرده است.

آنتونیوس ترِفوس، مهندس معکوس بدافزار در Check Point که این شبکه‌ی Stargazer Goblin را کشف کرده است، بر پیچیدگی عملیات سایبری گروه مذکور تأکید دارد. او می‌گوید اگرچه گیت‌هاب قبلاً نیز هدف مجرمین سایبری قرار گرفته بود، اما وسعت و روش Stargazer Goblin بی‌سابقه به نظر می‌رسد.

براساس گزارش چک‌پوینت، مخزن‌های کد Stargazer Goblin ازطریق کانال تلگرام مرتبط با جرائم سایبری و بازارهای سیاه مختلف خریدوفروش می‌شوند. مجرمین سایبری، مشتریان و قربانیان آن‌ها، از بستر تلگرام استفاده می‌کنند. ترِفوس می‌گوید او هرگز چنین شبکه‌ای از حساب‌های کاربری جعلی را ندیده بود که با این روش در گیت‌هاب فعالیت کنند.

براساس یافته‌های چک‌پینت، شبکه‌ی Stargazer Goblin بدافزارها را به‌عنوان ابزارهای مشروع برای رسانه‌های اجتماعی، بازی و اپلیکیشن‌های کاربردی ارزهای دیجیتال جا می‌زند. برخی از نمونه‌های کشف‌شده شامل کدهایی برای اجرای VPN یا کرک نرم‌افزارهایی مانند ادوبی فتوشاپ بود. چنین مخزن‌هایی کاربران ویندوزی را که به‌دنبال نرم‌افزار رایگان آنلاین هستند، هدف قرار می‌دهند.

شبکه‌ی Stargazer Goblin از سایر هکرها برای استفاده از خدماتش هزینه دریافت می‌کند. Check Point انواع مختلفی از بدافزارهای توزیع‌شده ازطریق این شبکه را شناسایی کرد که شامل Atlantida ، Rhadamanthys و Lumma می‌شوند. درواقع ترِفوس این شبکه را هنگام بررسی نمونه‌هایی از بدافزار Atlantida کشف کرد.

Stargazer Goblin تبلیغات خود را در انجمن‌های جرائم سایبری منتشر می‌کند و کانال تلگرامی آن خدماتی مانند ۱۰۰ توکن Stars به ازای ۱۰ دلار و ۵۰۰ توکن Stars به ازای ۵۰ دلار ارائه می‌دهد. این شبکه همچنین امکان کلون‌کردن مخزن‌های موجود و ارائه‌ی حساب‌های کاربری معتبر را نیز ارائه می‌کند. تحقیقات چک‌پوینت نشان می‌دهد این گروه از آغاز فعالیت خود تاکنون حدود ۱۰۰ هزار دلار درآمد داشته است.

ترِفوس می‌گوید مخزن‌های معتبر کد در گیت‌هاب سرقت و به مخزن‌های مخرب تبدیل شده‌اند. کاربران می‌توانند با انشعاب (Fork) این مخزن‌ها، کدهای مخرب را به‌طور ناخواسته گسترش دهند. ابزارهای خودکار با تشخیص ویژگی‌های مشترک مانند الگوها و تگ‌های مشابه، در شناسایی حساب‌های کاربری مرتبط با این شبکه به ترِفوس کمک کرد.

هنگامی‌ که گیت‌هاب حساب‌های مرتبط با کمپین‌های بدافزار غیرقانونی را شناسایی کند، آن حساب‌ها به‌دلیل نقض قوانین غیرفعال می‌شوند. الکسیس ولز، معاون رئیس عملیات امنیتی در گیت‌هاب می‌گوید این شرکت تیم‌های اختصاصی برای شناسایی و حذف محتوا و حساب‌های جعلی دارد و تیم‌ها از ترکیب بررسی‌های دستی و شناسایی در مقیاس گسترده با استفاده از یادگیری ماشین برای شناسایی رفتارهای مشکوک استفاده می‌کنند.

گیت‌هاب با بیش‌ از ۱۰۰ میلیون کاربر و ۴۲۰ میلیون مخزن، هدف بسیار بزرگ به‌حساب می‌آید. این جامعه‌ی کاربری بزرگ، موضوع پنهان‌شدن مجرمین سایبری میان کاربران را به چالشی سخت تبدیل کرده است و می‌توان یافتن آن‌ها را به یافتن سوزنی در انبار کاه تشبیه کرد.

جیک مور، مشاور امنیت سایبری جهانی در شرکت امنیتی Eset، درمورد خطرات دانلود کدهای مخرب به کاربران گیت‌هاب هشدار داد. نشانه‌های مخزن‌های مخرب شامل تغییرات غیرمنتظره در کد، دسترسی کد به منابع خارجی و اعتبارنامه‌ها یا کلیدهای API کدگذاری‌شده می‌شوند.

این احتمال وجود دارد شبکه‌ی Stargazer Goblin گسترده‌تر از چیزی باشد که محققان تشخیص داده‌اند. ترِفوس تأکید می‌کند که هنوز ابعاد فعالیت‌های این شبکه به‌طور کامل مشخص نشده‌اند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.