Aktor ancaman yang dikenal sebagai ‘Stargazer Goblin’ telah menciptakan malware Distribusi-sebagai-Layanan (DaaS) dari lebih dari 3.000 akun palsu di GitHub yang menyebarkan malware pencuri informasi.
Layanan pengiriman malware ini disebut Stargazers Ghost Network dan menggunakan repositori GitHub beserta situs WordPress yang disusupi untuk mendistribusikan arsip yang dilindungi kata sandi yang berisi malware. Dalam kebanyakan kasus, malware tersebut adalah infostealer, seperti RedLine, Lumma Stealer, Rhadamanthys, RisePro, dan Atlantida Stealer.
Sumber: Check Point
Karena GitHub merupakan layanan tepercaya dan terkenal, orang-orang tidak terlalu curiga padanya dan mungkin lebih cenderung mengeklik tautan yang mereka temukan di repositori layanan tersebut.
Titik Pemeriksaan Penelitian menemukan operasi tersebut, yang berarti ini adalah pertama kalinya skema terorganisasi dan berskala besar seperti itu didokumentasikan berjalan di GitHub.
“Kampanye yang dilakukan oleh Stargazers Ghost Network dan malware yang didistribusikan melalui layanan ini sangat berhasil,” jelas laporan oleh Check Point Research.
“Dalam waktu singkat, ribuan korban memasang perangkat lunak dari tempat penyimpanan yang tampak sah tanpa mencurigai adanya niat jahat. Template phishing yang sangat berorientasi pada korban memungkinkan pelaku ancaman menginfeksi korban dengan profil dan akun daring tertentu, sehingga infeksi menjadi lebih berbahaya.”
‘Hantu’ GitHub menyebarkan malware
Pembuat operasi DaaS, Stargazer Goblin, telah aktif mempromosikan layanan distribusi malware di web gelap sejak Juni 2023. Namun, Check Point mengatakan ada bukti bahwa layanan tersebut telah aktif sejak Agustus 2022.
Sumber: Check Point
Stargazer Goblin membuat sistem tempat mereka membuat ratusan repositori menggunakan tiga ribu akun ‘hantu’ palsu. Akun-akun ini menjadi bintang, bercabang, dan berlangganan repositori jahat untuk meningkatkan legitimasi mereka dan membuat mereka lebih mungkin muncul di bagian tren GitHub.
Sumber: Check Point
Repositori menggunakan nama dan tag proyek yang menargetkan minat tertentu seperti mata uang kripto, permainan, dan media sosial.
Sumber: Check Point
Akun ‘hantu’ diberi peran yang berbeda. Satu kelompok menyediakan templat phishing, kelompok lain menyediakan gambar phishing, dan kelompok ketiga menyediakan malware, yang memberikan skema ketahanan operasional tingkat tertentu.
“Akun ketiga, yang melayani malware, lebih mungkin terdeteksi. Ketika ini terjadi, GitHub akan memblokir seluruh akun, repositori, dan rilis terkait,” jelas peneliti Antonis Terefos.
“Menanggapi tindakan tersebut, Stargazer Goblin memperbarui repositori phishing akun pertama dengan tautan baru ke rilis berbahaya baru yang aktif. Hal ini memungkinkan jaringan untuk terus beroperasi dengan kerugian minimum saat akun yang menyajikan malware diblokir.”
Sumber: Check Point
Check Point telah mengamati kasus video YouTube dengan tutorial perangkat lunak yang tertaut ke operasi yang sama seperti di salah satu repositori GitHub ‘Stargazers Ghost Network’.
Para peneliti mencatat bahwa itu bisa menjadi salah satu dari beberapa contoh saluran yang berpotensi digunakan untuk menyalurkan lalu lintas ke repositori phishing atau situs distribusi malware.
Dalam hal ukuran operasi dan perolehan laba, Check Point memperkirakan bahwa pelaku ancaman telah menghasilkan lebih dari $100.000 sejak peluncuran layanan.
Mengenai malware apa yang didistribusikan melalui operasi Stargazers Ghost Network, Check Point mengatakan malware tersebut mencakup RedLine, Lumma Stealer, Rhadamanthys, RisePro, dan Atlantida Stealer, antara lain.
Dalam satu contoh rangkaian serangan yang disajikan dalam laporan Check Point, repositori GitHub mengarahkan pengunjung ke situs WordPress yang telah disusupi, tempat mereka mengunduh arsip ZIP berisi berkas HTA dengan VBScript.
Sumber: Check Point
VBScript memicu eksekusi dua skrip PowerShell berurutan yang akhirnya mengarah pada penyebaran Atlantida Stealer.
Meskipun GitHub telah mengambil tindakan terhadap banyak repositori jahat dan palsu, dengan menghapus lebih dari 1.500 repositori sejak Mei 2024, Check Point menyatakan bahwa lebih dari 200 repositori saat ini aktif dan terus menyebarkan malware.
Sumber: Check Point
Pengguna yang mengakses repositori GitHub melalui malvertising, hasil Google Search, video YouTube, Telegram, atau media sosial disarankan untuk sangat berhati-hati dengan unduhan file dan URL yang mereka klik.
Hal ini terutama berlaku untuk arsip yang dilindungi kata sandi, yang tidak dapat dipindai oleh perangkat lunak antivirus. Untuk jenis file ini, sebaiknya Anda mengekstraknya pada VM dan memindai konten yang diekstrak dengan perangkat lunak antivirus untuk memeriksa malware.
Jika mesin virtual tidak tersedia, Anda juga dapat menggunakan Total Virusyang akan meminta kata sandi arsip yang dilindungi sehingga dapat memindai isinya. Namun, VirusTotal hanya dapat memindai arsip yang dilindungi jika berisi satu file.
