Hàng nghìn tài khoản GitHub được sử dụng trong mạng lưới phân phối mã độc

Các tác nhân đe dọa được gọi là 'Stargazer Goblin' đã tạo ra một dịch vụ phân phối mã độc (DaaS) từ hơn 3.000 tài khoản giả mạo trên GitHub để phát tán phần mềm độc hại đánh cắp thông tin.

Dịch vụ phân phối phần mềm độc hại, được gọi là Stargazers Ghost Network, sử dụng kho lưu trữ GitHub cùng với các trang web WordPress bị xâm phạm để lưu các tệp nén, được bảo vệ bằng mật khẩu, có chứa phần mềm độc hại. Trong hầu hết các trường hợp, mã độc là những phần mềm đánh cắp thông tin như RedLine, Lumma Stealer, Rhadamanthys, RisePro và Atlantida Stealer.

Kho lưu trữ tệp nén được bảo vệ bằng mật khẩu có chứa mã độc (Nguồn: Check Point)

Do GitHub là một dịch vụ phổ biến và đáng tin cậy nên mọi người ít nghi ngờ hơn và có nhiều khả năng nhấp vào các liên kết có trong kho lưu trữ của dịch vụ này.

Check Point Research đã phát hiện hoạt động này và cho biết đây là lần đầu tiên một âm mưu có tổ chức và quy mô lớn như vậy được ghi nhận trên GitHub.

Báo cáo của Check Point Research cho biết: "Trong một thời gian ngắn, hàng ngàn nạn nhân đã cài đặt phần mềm từ một kho lưu trữ hợp pháp mà không nghi ngờ bất kỳ rủi ro nào".

Tài khoản GitHub ‘ma’ phát tán phần mềm độc hại

Stargazer Goblin đã quảng bá dịch vụ phân phối phần mềm độc hại trên dark web kể từ tháng 6 năm 2023. Tuy nhiên, Check Point cho biết có dấu hiệu cho thấy nó đã hoạt động từ tháng 8 năm 2022.

Stargazer Goblin đã thiết lập một hệ thống với hàng trăm kho lưu trữ được tạo bằng cách sử dụng ba nghìn tài khoản 'ma' giả mạo. Những tài khoản này để lại lượt thích (star), fork, và theo dõi các kho lưu trữ độc hại để làm tăng vẻ hợp pháp của chúng và khiến chúng có nhiều khả năng xuất hiện trên phần xu hướng của GitHub.

Các kho lưu trữ sử dụng các tên dự án và thẻ (tag) nhắm vào các mối quan tâm cụ thể như tiền điện tử, trò chơi và phương tiện truyền thông xã hội.

Các tài khoản 'ma' đảm nhận những vai trò khác nhau. Một nhóm cung cấp mẫu lừa đảo, nhóm khác cung cấp hình ảnh lừa đảo và nhóm thứ ba cung cấp phần mềm độc hại.

"Nhóm tài khoản thứ ba có nhiều khả năng bị phát hiện hơn. Khi điều này xảy ra, GitHub sẽ cấm toàn bộ tài khoản, kho lưu trữ và các bản phát hành liên quan", nhà nghiên cứu Antonis Terefos giải thích.

"Để đối phó với điều này, Stargazer Goblin sẽ cập nhật kho lưu trữ lừa đảo của nhóm tài khoản đầu tiên bằng một liên kết mới đến bản phát hành phần mềm độc hại đang hoạt động mới. Điều này cho phép mạng lưới tiếp tục hoạt động khi một tài khoản cung cấp phần mềm độc hại bị cấm."

Check Point đã phát hiện ra một trường hợp video trên YouTube với hướng dẫn sử dụng phần mềm liên kết đến cùng một nguồn như trong một trong những kho lưu trữ GitHub của 'Stargazers Ghost Network'.

Đây có thể là một trong nhiều kênh được sử dụng để chuyển hướng lưu lượng truy cập đến các kho lưu trữ lừa đảo hoặc các trang web phân phối phần mềm độc hại.

Mặc dù GitHub đã tiến hành các hành động để chống lại nhiều kho lưu trữ độc hại/giả mạo, gỡ bỏ hơn 1.500 kho lưu trữ kể từ tháng 5 năm 2024, Check Point cho biết hiện vẫn còn hơn 200 kho lưu trữ đang hoạt động và tiếp tục phân phối phần mềm độc hại.

Người dùng truy cập vào kho lưu trữ GitHub thông qua quảng cáo độc hại, kết quả Tìm kiếm của Google, video YouTube, Telegram hoặc phương tiện truyền thông xã hội được lưu ý nên hết sức thận trọng khi tải tệp xuống và nhấp vào URL.

Đặc biệt đối với các kho lưu trữ được bảo vệ bằng mật khẩu, vốn không thể quét kiểm tra bằng phần mềm diệt vi-rút. Đối với các loại tệp này, bạn nên giải nén chúng trên máy ảo và quét nội dung đã giải nén bằng phần mềm diệt vi-rút để kiểm tra mã độc.

Nếu không có máy ảo, bạn cũng có thể sử dụng VirusTotal, chương trình sẽ nhắc nhập mật khẩu của tệp nén để có thể quét nội dung của tệp này. Tuy nhiên, VirusTotal chỉ có thể quét tệp nén được bảo vệ nếu nó chứa một tệp duy nhất.

Nguồn: bleepingcomputer.com.