Un actor de amenazas conocido como Stargazer Goblin ha creado una red de cuentas falsas de GitHub para alimentar un sistema de distribución como servicio (DaaS) que propaga una variedad de malware que roba información y les ha proporcionado 100.000 dólares en ganancias ilícitas durante el año pasado. La red, que comprende más de 3.000 cuentas en la plataforma de alojamiento de código basada en la nube, abarca miles de repositorios que se utilizan para compartir enlaces maliciosos o malware, según Check Point, que la ha bautizado como «Stargazers Ghost Network». Algunas de las familias de malware propagadas mediante este método incluyen Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine, y las cuentas falsas también participan en la selección de repositorios maliciosos, suscripciones a ellos y su bifurcación de los mismos para darles una apariencia de legitimidad. Se cree que la red ha estado activa desde agosto de 2022 de alguna forma preliminar, aunque no se detectó un anuncio de DaaS en la oscuridad hasta principios de julio de 2023. «Los actores de amenazas ahora operan una red de cuentas ‘fantasma’ que distribuyen malware a través de enlaces maliciosos en sus repositorios y archivos cifrados como lanzamientos», explicó el investigador de seguridad Antonis Terefos en un análisis publicado la semana pasada. «Esta red no solo distribuye malware, sino que también proporciona varias otras actividades que hacen que estas cuentas ‘fantasma’ parezcan usuarios normales, lo que otorga una legitimidad falsa a sus acciones y a los repositorios asociados». Diferentes categorías de cuentas de GitHub son responsables de distintos aspectos del esquema en un intento de hacer que su infraestructura sea más resistente a los esfuerzos de eliminación de GitHub cuando se marcan cargas útiles maliciosas en la plataforma. Estas incluyen cuentas que sirven la plantilla del repositorio de phishing, cuentas que proporcionan la imagen para la plantilla de phishing y cuentas que envían malware a los repositorios en forma de un archivo protegido con contraseña que se hace pasar por software pirateado y trampas de juegos. Si GitHub detecta y prohíbe el tercer conjunto de cuentas, Stargazer Goblin actualiza el repositorio de phishing de la primera cuenta con un nuevo enlace a una nueva versión maliciosa activa, lo que permite a los operadores seguir adelante con una interrupción mínima. Además de dar me gusta a las nuevas versiones de varios repositorios y realizar cambios en los archivos README.md para modificar los enlaces de descarga, hay evidencia que sugiere que algunas cuentas que forman parte de la red se han visto comprometidas anteriormente, y es probable que las credenciales se hayan obtenido a través de malware ladrón. «La mayoría de las veces, observamos que las cuentas de Repository y Stargazer no se ven afectadas por las prohibiciones y las eliminaciones de repositorios, mientras que las cuentas de Commit y Release suelen prohibirse una vez que se detectan sus repositorios maliciosos», dijo Terefos. «Es común encontrar Link-Repositories que contienen enlaces a Release-Repositories prohibidos. Cuando esto ocurre, la cuenta de Commit asociada con el Link-Repositorie actualiza el enlace malicioso con uno nuevo». Una de las campañas descubiertas por Check Point implica el uso de un enlace malicioso a un repositorio de GitHub que, a su vez, apunta a un script PHP alojado en un sitio de WordPress y entrega un archivo HTML Application (HTA) para ejecutar Atlantida Stealer mediante un script de PowerShell. Otras familias de malware propagadas a través de DaaS son Lumma Stealer, RedLine Stealer, Rhadamanthys y RisePro. Check Point señaló además que las cuentas de GitHub son parte de una solución DaaS más grande que opera cuentas fantasma similares en otras plataformas como Discord, Facebook, Instagram, X y YouTube. «Stargazer Goblin creó una operación de distribución de malware extremadamente sofisticada que evita la detección ya que GitHub se considera un sitio web legítimo, pasa por alto las sospechas de actividades maliciosas y minimiza y recupera cualquier daño cuando GitHub interrumpe su red», dijo Terefos. «El uso de múltiples cuentas y perfiles que realizan diferentes actividades, desde la asignación de estrellas hasta el alojamiento del repositorio, la confirmación de la plantilla de phishing y el alojamiento de versiones maliciosas, permite a Stargazers Ghost Network minimizar sus pérdidas cuando GitHub realiza alguna acción que perturbe sus operaciones, ya que normalmente solo se interrumpe una parte de toda la operación en lugar de todas las cuentas implicadas». El desarrollo se produce cuando actores de amenazas desconocidos apuntan a los repositorios de GitHub, borran su contenido y piden a las víctimas que se pongan en contacto con un usuario llamado Gitloker en Telegram como parte de una nueva operación de extorsión que ha estado en curso desde febrero de 2024. El ataque de ingeniería social se dirige a los desarrolladores con correos electrónicos de phishing enviados desde «notifications@github.com», con el objetivo de engañarlos para que hagan clic en enlaces falsos con el pretexto de una oportunidad laboral en GitHub, tras lo cual se les solicita que autoricen una nueva aplicación OAuth que borra todos los repositorios y exige un pago a cambio de restaurar el acceso. También sigue un aviso de Truffle Security de que es posible acceder a datos confidenciales de bifurcaciones eliminadas, repositorios eliminados e incluso repositorios privados en GitHub, instando a las organizaciones a tomar medidas para protegerse contra lo que llama una vulnerabilidad de referencia de objeto entre bifurcaciones (CFOR). «Una vulnerabilidad CFOR ocurre cuando una bifurcación de un repositorio puede acceder a datos confidenciales de otra bifurcación (incluidos datos de bifurcaciones privadas y eliminadas)», dijo Joe Leon. «Similar a una referencia de objeto directa insegura, en CFOR los usuarios proporcionan hashes de confirmación para acceder directamente a datos de confirmación que de otra manera no serían visibles para ellos». En otras palabras, un fragmento de código enviado a un repositorio público puede ser accesible para siempre siempre que exista al menos una bifurcación de ese repositorio. Además de eso, también podría usarse para acceder al código enviado entre el momento en que se crea una bifurcación interna y el repositorio se hace público. Sin embargo, vale la pena señalar que estas son decisiones de diseño intencionales tomadas por GitHub, como lo señala la empresa en su propia documentación: Se puede acceder a las confirmaciones de cualquier repositorio en una red de bifurcaciones desde cualquier repositorio en la misma red de bifurcaciones, incluido el repositorio ascendente. Cuando cambia un repositorio privado a público, todas las confirmaciones en ese repositorio, incluidas las confirmaciones realizadas en los repositorios en los que se bifurcó, serán visibles para todos. «El usuario promedio ve la separación de los repositorios privados y públicos como un límite de seguridad y, comprensiblemente, cree que los usuarios públicos no pueden acceder a los datos ubicados en un repositorio privado», dijo Leon. «Desafortunadamente, […] Esto no siempre es cierto. Además, el acto de eliminación implica la destrucción de datos. Como vimos anteriormente, eliminar un repositorio o una bifurcación no significa que los datos de confirmación se eliminen realmente. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.