شبکه‌ی گسترده‌ای از حساب‌های کاربری جعلی در گیت‌هاب شناسایی شد که از این پلتفرم برای انتشار لینک‌های فیشینگ و بدافزار استفاده کرده‌اند.

پژوهشگران امنیتی شرکت چک‌پوینت (Check Point) شبکه‌ای مخفی متشکل از حدود ۳۰۰۰ حساب کاربری جعلی در گیت‌هاب کشف کرده‌اند که از این پلتفرم برای تبلیغ بدافزار و لینک‌های فیشینگ سوءاستفاده می‌کنند. محققان این گروه را Stargazer Goblin نامیده‌اند و فعالیتشان حداقل از ژوئن ۲۰۲۳ در گیت‌هاب (دی و بهمن ۱۴۰۱) آغاز شده است.

گیت‌هاب میلیون‌ها پروژه از توسعه‌دهندگان سرتاسر دنیا را میزبانی می‌کند و Stargazer Goblin از ابزارهای جامعه‌ی این پلتفرم برای افزایش بازدید و اعتبار ظاهری مخزن‌های کد مخرب استفاده کرده است.

آنتونیوس ترِفوس، مهندس معکوس بدافزار در Check Point که این شبکه‌ی Stargazer Goblin را کشف کرده است، بر پیچیدگی عملیات سایبری گروه مذکور تأکید دارد. او می‌گوید اگرچه گیت‌هاب قبلاً نیز هدف مجرمین سایبری قرار گرفته بود، اما وسعت و روش Stargazer Goblin بی‌سابقه به نظر می‌رسد.

براساس گزارش چک‌پوینت، مخزن‌های کد Stargazer Goblin ازطریق کانال تلگرام مرتبط با جرائم سایبری و بازارهای سیاه مختلف خریدوفروش می‌شوند. مجرمین سایبری، مشتریان و قربانیان آن‌ها، از بستر تلگرام استفاده می‌کنند. ترِفوس می‌گوید او هرگز چنین شبکه‌ای از حساب‌های کاربری جعلی را ندیده بود که با این روش در گیت‌هاب فعالیت کنند.

براساس یافته‌های چک‌پینت، شبکه‌ی Stargazer Goblin بدافزارها را به‌عنوان ابزارهای مشروع برای رسانه‌های اجتماعی، بازی و اپلیکیشن‌های کاربردی ارزهای دیجیتال جا می‌زند. برخی از نمونه‌های کشف‌شده شامل کدهایی برای اجرای VPN یا کرک نرم‌افزارهایی مانند ادوبی فتوشاپ بود. چنین مخزن‌هایی کاربران ویندوزی را که به‌دنبال نرم‌افزار رایگان آنلاین هستند، هدف قرار می‌دهند.

شبکه‌ی Stargazer Goblin از سایر هکرها برای استفاده از خدماتش هزینه دریافت می‌کند. Check Point انواع مختلفی از بدافزارهای توزیع‌شده ازطریق این شبکه را شناسایی کرد که شامل Atlantida ، Rhadamanthys و Lumma می‌شوند. درواقع ترِفوس این شبکه را هنگام بررسی نمونه‌هایی از بدافزار Atlantida کشف کرد.

Stargazer Goblin تبلیغات خود را در انجمن‌های جرائم سایبری منتشر می‌کند و کانال تلگرامی آن خدماتی مانند ۱۰۰ توکن Stars به ازای ۱۰ دلار و ۵۰۰ توکن Stars به ازای ۵۰ دلار ارائه می‌دهد. این شبکه همچنین امکان کلون‌کردن مخزن‌های موجود و ارائه‌ی حساب‌های کاربری معتبر را نیز ارائه می‌کند. تحقیقات چک‌پوینت نشان می‌دهد این گروه از آغاز فعالیت خود تاکنون حدود ۱۰۰ هزار دلار درآمد داشته است.

ترِفوس می‌گوید مخزن‌های معتبر کد در گیت‌هاب سرقت و به مخزن‌های مخرب تبدیل شده‌اند. کاربران می‌توانند با انشعاب (Fork) این مخزن‌ها، کدهای مخرب را به‌طور ناخواسته گسترش دهند. ابزارهای خودکار با تشخیص ویژگی‌های مشترک مانند الگوها و تگ‌های مشابه، در شناسایی حساب‌های کاربری مرتبط با این شبکه به ترِفوس کمک کرد.

هنگامی‌ که گیت‌هاب حساب‌های مرتبط با کمپین‌های بدافزار غیرقانونی را شناسایی کند، آن حساب‌ها به‌دلیل نقض قوانین غیرفعال می‌شوند. الکسیس ولز، معاون رئیس عملیات امنیتی در گیت‌هاب می‌گوید این شرکت تیم‌های اختصاصی برای شناسایی و حذف محتوا و حساب‌های جعلی دارد و تیم‌ها از ترکیب بررسی‌های دستی و شناسایی در مقیاس گسترده با استفاده از یادگیری ماشین برای شناسایی رفتارهای مشکوک استفاده می‌کنند.

گیت‌هاب با بیش‌ از ۱۰۰ میلیون کاربر و ۴۲۰ میلیون مخزن، هدف بسیار بزرگ به‌حساب می‌آید. این جامعه‌ی کاربری بزرگ، موضوع پنهان‌شدن مجرمین سایبری میان کاربران را به چالشی سخت تبدیل کرده است و می‌توان یافتن آن‌ها را به یافتن سوزنی در انبار کاه تشبیه کرد.

جیک مور، مشاور امنیت سایبری جهانی در شرکت امنیتی Eset، درمورد خطرات دانلود کدهای مخرب به کاربران گیت‌هاب هشدار داد. نشانه‌های مخزن‌های مخرب شامل تغییرات غیرمنتظره در کد، دسترسی کد به منابع خارجی و اعتبارنامه‌ها یا کلیدهای API کدگذاری‌شده می‌شوند.

این احتمال وجود دارد شبکه‌ی Stargazer Goblin گسترده‌تر از چیزی باشد که محققان تشخیص داده‌اند. ترِفوس تأکید می‌کند که هنوز ابعاد فعالیت‌های این شبکه به‌طور کامل مشخص نشده‌اند.