Jaringan rahasia yang terdiri dari sekitar 3.000 akun “hantu” di Bahasa Indonesia: GitHub telah diam-diam memanipulasi laman di situs web hosting kode untuk mempromosikan malware dan tautan phishing, menurut penelitian baru yang dilihat oleh WIRED.
Sejak setidaknya Juni tahun lalu, menurut para peneliti di perusahaan keamanan siber Check Point, seorang penjahat siber yang mereka juluki “Stargazer Goblin” telah menjadi tuan rumah repositori kode berbahaya di platform milik Microsoft. GitHub adalah situs web kode sumber terbuka terbesar di dunia, yang menjadi tuan rumah bagi jutaan karya pengembang. Selain mengunggah repositori berbahaya, Stargazer Goblin telah meningkatkan halaman-halaman tersebut dengan menggunakan alat komunitas GitHub sendiri.
Antonis Terefos, seorang insinyur pembalik malware di Check Point yang menemukan perilaku jahat tersebutmengatakan persona di balik jaringan tersebut menggunakan akun palsu mereka untuk “membintangi”, “membagi”, dan “mengawasi” halaman-halaman berbahaya. Tindakan-tindakan ini—yang secara garis besar mirip dengan menyukai, berbagi, dan berlangganan, masing-masing—membantu membuat halaman-halaman tersebut tampak populer dan asli. Semakin banyak bintang, semakin realistis tampilan halaman tersebut. “Repositori-repositori berbahaya tersebut tampak benar-benar sah,” kata Terefos.
“Cara dia mengembangkannya sangat cerdas, memanfaatkan cara kerja GitHub,” kata Terefos tentang orang di balik persona tersebut. Meskipun penjahat dunia maya telah menyalahgunakan GitHub selama bertahun-tahun, mengunggah kode berbahaya Dan mengadaptasi repositori yang sahTerefos mengatakan bahwa ia belum pernah melihat jaringan akun palsu yang beroperasi dengan cara seperti ini di platform tersebut. Pembelian dan penjualan repositori dan penyorotan dilakukan di saluran Telegram yang terkait dengan kejahatan dunia maya dan pasar kriminal. WIRED sebelumnya melaporkan di pasar gelap GitHub lainnya.
Stargazers Ghost Network, yang diberi nama Check Point berdasarkan salah satu akun pertama yang mereka temukan, telah menyebarkan repositori GitHub berbahaya yang menawarkan unduhan perangkat media sosial, permainan, dan mata uang kripto. Misalnya, halaman-halaman tersebut mungkin mengklaim menyediakan kode untuk menjalankan VPN atau melisensikan versi Adobe Photoshop. Sebagian besar menargetkan pengguna Windows, menurut penelitian tersebut, dan bertujuan untuk memanfaatkan orang-orang yang berpotensi mencari perangkat lunak gratis daring.
Operator di balik jaringan tersebut mengenakan biaya kepada peretas lain untuk menggunakan layanan mereka, yang disebut Check Point sebagai “distribusi sebagai layanan.” Jaringan berbahaya tersebut telah terlihat berbagi berbagai jenis ransomware dan malware pencuri informasi, kata Check Point, termasuk Pencuri AtlantisBahasa Indonesia: bunga rhadamanthysdan Pencuri LummaTerefos mengatakan ia menemukan jaringan tersebut saat meneliti kasus Atlantida Stealer. Peneliti tersebut mengatakan jaringan tersebut mungkin lebih besar dari yang ia duga, karena ia juga melihat akun GitHub yang sah diambil alih menggunakan detail login yang dicuri.
“Kami menonaktifkan akun pengguna sesuai dengan GitHub Kebijakan Penggunaan yang Dapat Diterimayang melarang pengeposan konten yang secara langsung mendukung serangan aktif yang melanggar hukum atau kampanye malware yang menyebabkan kerusakan teknis,” kata Alexis Wales, wakil presiden operasi keamanan di GitHub. “Kami memiliki tim yang didedikasikan untuk mendeteksi, menganalisis, dan menghapus konten dan akun yang melanggar kebijakan ini.”
GitHub memiliki lebih dari 100 juta pengguna yang telah menyumbangkan lebih dari 420 juta repositori di platform tersebut. Mengingat luasnya platform tersebut, tidak mengherankan jika penjahat dunia maya dan peretas berusaha menyalahgunakannya. Dalam beberapa tahun terakhir, para peneliti telah memetakan contoh bintang palsubercak kode berbahaya tersembunyi dalam proyekmenghadapi pertumbuhan serangan rantai pasokan terhadap perangkat lunak sumber terbukaDan melihat komentar digunakan untuk menyebarkan malware.
Aktor ancaman Stargazer Goblin yang diidentifikasi oleh Check Point menjual layanan mereka melalui iklan di forum kejahatan dunia maya dan juga melalui akun Telegram. Sebuah posting di forum kejahatan dunia maya berbahasa Rusia mengiklankan 100 bintang seharga $10 dan 500 bintang seharga $50 dan mengatakan bahwa mereka dapat menyediakan kloning repositori yang ada dan akun tepercaya. “Untuk GitHub, prosesnya terlihat organik,” kata salah satu posting yang diterjemahkan. Penelitian Check Point mengatakan bahwa jaringan tersebut dapat mulai beroperasi paling cepat pada Agustus 2022 dan mungkin telah menghasilkan sebanyak $100.000—dari pertengahan Mei hingga pertengahan Juni tahun ini, mereka memperkirakan operator tersebut menghasilkan sekitar $8.000.
Terefos mengatakan, dalam beberapa kasus, ia telah melihat repositori kode yang sah diubah oleh pelaku ancaman, yang berpotensi menggunakan kredensial yang dicuri, dan berubah menjadi yang jahat. Jika pengguna yang sah membuat repositori yang jahat, repositori tersebut berpotensi menyebarkan kode, kata Terefos. Insinyur malware terbalik tersebut menambahkan bahwa ia telah mengotomatiskan pencarian akun yang terhubung ke jaringan dan dapat mengidentifikasinya berdasarkan fitur umum, seperti repositori yang menggunakan templat dan tag yang serupa. Beberapa repositori yang dilihat oleh WIRED menggunakan variasi pada tag “instagram-follower” dan “youtube-views”, dengan nama yang diubah berdasarkan perangkat lunak yang diduga ditawarkan oleh halaman tersebut.
“Pengguna GitHub, dan terutama pengguna yang belum berpengalaman, dapat dengan mudah mengunduh kode berbahaya, yang sering kali merupakan hasil dari ulasan dan bintang fiktif,” kata Jake Moore, penasihat keamanan siber global di perusahaan keamanan Eset. “Tanda-tanda kode berbahaya di GitHub juga dapat berupa perubahan kode yang tidak terduga atau mencurigakan, kode yang mengakses sumber daya eksternal, dan kredensial atau kunci API tertentu yang dikodekan secara permanen.”
Terefos mengatakan aktivitas jaringan—menatap dan mengamati halaman—kemungkinan besar dilakukan secara otomatis, karena ia melihat repositori ditindaklanjuti secara berurutan. “Saya tidak berpikir mereka mengklik, melakukan pekerjaan manual.” Untuk GitHub, kata Terefos, mungkin sulit untuk mengidentifikasi aktivitas ini, karena perilaku akun dimaksudkan agar terlihat seperti pengguna GitHub asli. Wales, dari GitHub, mengatakan perusahaan menggunakan kombinasi tinjauan manual dan “deteksi skala besar” yang menggunakan pembelajaran mesin untuk mengidentifikasi aktivitas mencurigakan
Teknisi Check Point juga mengatakan bahwa ia mengidentifikasi satu akun “hantu” YouTube yang membagikan tautan berbahaya melalui video, yang menunjukkan bahwa jaringan tersebut mungkin lebih menyeluruh. “Saya pikir ini bukan gambaran utuh,” kata Terefos.
