Una delle più recenti scoperte è la rete di account fantasma su GitHub, nota come Stargazers Ghost Network. Questa rete di account apparentemente legittimi e sofisticata distribuisce malware attraverso repository di phishing, rappresentando una nuova frontiera nella distribuzione di software dannoso.
La scoperta
La Stargazers Ghost Network è stata scoperta da Check Point Research (CPR), che ha identificato una serie di account GitHub utilizzati per distribuire link malevoli e malware. Questi account, noti come “Ghost accounts”, operano in modo da far sembrare legittimi i repository malevoli attraverso azioni come lo “starring”, il “forking” e il “subscribing”. In pratica i link interni ai repository dannosi vengono contrassegnati con una stella e verificati da più account GitHub, per indurre le vittime a scaricare contenuti pubblicizzati.
Operazione e impatto
È noto come già in passato la piattaforma GitHub sia stata abusata per distribuire software malevolo direttamente, ma ora la tattica si è evoluta. L’introduzione di questa rete fantasma nell’attacco rende più difficile per gli utenti normali rilevare repository sospetti. Anche se il numero degli account fantasma non sia certo a causa dell’evoluzione della rete, CPR stima oltre 3.000 account Ghost.
La rete opera come un servizio di distribuzione DaaS (Distribution as a Service) permettendo anche ad altri attori di minaccia di condividere link malevoli o malware. Questo modello ha un inoltre un impatto significativo sulla comunità, poiché ha facilitato la diffusione di vari tipi di malware, tra cui Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine.
I ricercatori CPR ritengono infine che i repository GitHub malevoli siano stati probabilmente distribuiti tramite canali Discord, prendendo di mira i follower di YouTube, TikTok, Twitch e Instagram pubblicizzando software craccato e attività correlate alle criptovalute.
Possibili mitigazioni
La Stargazers Ghost Network rappresenta una minaccia significativa nel panorama della sicurezza informatica. La sua capacità di far sembrare legittimi i repository malevoli e di operare come un servizio di distribuzione rende questa rete particolarmente pericolosa.
“Stiamo entrando in una nuova era di distribuzione di malware, in cui gli account fantasma promuovono e distribuiscono organicamente link dannosi su varie piattaforme.” , conclude il rapporto CPR. “I futuri account fantasma alimentati dall’intelligenza artificiale potrebbero lanciare campagne ancora più mirate, rendendo sempre più difficile distinguere tra contenuti legittimi e materiale dannoso“.
Per mitigare i rischi di essere colpiti da tali minacce è essenziale che gli utenti di GitHub e le organizzazioni siano consapevoli e adottino misure per proteggersi, facendo ricerche preventive su sviluppatore e relativo progetto prima di utilizzare qualsiasi tipo di repository e scaricare dai link a corredo.
