Ilustração de crânio com ossos cruzados em frente a uma tela de TV de tudo exibindo estática
Unsplash/lazycreekimages & Freepik/dgim-studio

Pesquisadores de cibersegurança identificaram uma rede clandestina de aproximadamente 3.000 contas “fantasmas” no GitHub, que vem manipulando páginas na plataforma para promover links maliciosos e phishing. Desde pelo menos junho do ano passado, um cibercriminoso apelidado de “Stargazer Goblin” tem hospedado repositórios de código malicioso na maior plataforma de hospedagem de código do mundo.

Antonis Terefos, engenheiro de reversão de malware na Check Point, descobriu essa atividade nefasta. Ele explica que o operador da rede usa contas falsas para “estrelarem”, “bifurcarem” e “seguirem” páginas maliciosas, fazendo-as parecer populares e legítimas. Essas ações, similares a curtir, compartilhar e se inscrever em redes sociais, ajudam a camuflar os repositórios maliciosos, que oferecem downloads de ferramentas para redes sociais, jogos e criptomoedas.

A Check Point nomeou essa rede de “Stargazers Ghost Network” e encontrou evidências de que ela compartilha diversos tipos de ransomware e malware, incluindo Atlantida Stealer, Rhadamanthys e Lumma Stealer. Terefos menciona que a rede pode ser ainda maior, já que contas legítimas do GitHub foram comprometidas com credenciais roubadas.

Veja também: Ataques de ransomware estão cada vez mais frequentes

Alexis Wales, vice-presidente de operações de segurança do GitHub, afirmou que a empresa desativou contas de usuários conforme suas políticas de uso aceitável, que proíbem conteúdo que apoie ataques ilícitos ou campanhas de malware. “Temos equipes dedicadas à detecção, análise e remoção de conteúdo e contas que violam essas políticas”, disse Wales.

O GitHub, com mais de 100 milhões de usuários e 420 milhões de repositórios, é um alvo natural para cibercriminosos. Em anos recentes, pesquisadores têm mapeado “estreladas” falsas, código perigoso oculto em projetos, e ataques crescentes na cadeia de suprimentos contra software de código aberto. Comentários usados para espalhar malware também têm sido observados.

Em março, um backdoor inserido na ferramenta de compressão XZ, utilizada no Linux e MacOS e que comprometia conexões SSH criptografadas, levantou questões sobre a qualidade dos códigos compartilhados no GitHub e como eles são revisados. Na ocasião, o código malicioso foi inserido através da conta de um dos desenvolvedores do projeto.

Stargazer Goblin

A rede Stargazer Goblin vende seus serviços através de fóruns de cibercrime e um canal no Telegram, oferecendo 100 estrelas por $10 e 500 por $50. Um post em um fórum russo de cibercrime anuncia clones de repositórios existentes e contas confiáveis. A Check Point estima que o operador tenha lucrado até $100.000 desde agosto de 2022, com $8.000 gerados entre maio e junho deste ano.

Terefos descobriu que repositórios legítimos podem ser alterados pelo operador da rede usando credenciais roubadas, transformando-os em repositórios maliciosos. Ele desenvolveu uma automação para identificar contas ligadas à rede, baseada em características comuns, como uso de templates e tags similares. Alguns repositórios utilizam variações de tags como “instagram-follower” e “youtube-views”, mudando os nomes conforme o software oferecido.

Muito cuidado

Jake Moore, conselheiro global de cibersegurança da Eset, alerta que usuários inexperientes do GitHub podem facilmente baixar código malicioso devido a avaliações fictícias e estrelas falsas. Ele destaca sinais de código malicioso, como mudanças inesperadas no código, acesso a recursos externos e credenciais ou chaves API hard-coded.

Terefos suspeita que a atividade de estrelamento e acompanhamento de páginas seja automatizada, dada a rapidez com que os repositórios são afetados. Para o GitHub, identificar essa atividade pode ser difícil, já que o comportamento das contas tenta imitar um usuário genuíno.