Malware-Verteilung über GitHub: Geister-Account-Netzwerk entdeckt

Inhaltsverzeichnis

Sicherheitsforscher von Check Point haben auf GitHub ein Netzwerk von Geister-Accounts entdeckt, das Malware verteilt. Neben Repositories mit Malware bietet das Stargazers Ghost Network Dienste an, um Schadcode effizient über GitHub zu verteilen.

Hinter dem Netzwerk steht der User Stargazer Goblin, der mindestens seit Juni 2023 seine Dienste anbietet. Check Point geht aber davon aus, dass die ersten Aktionen bereits im August 2022 starteten.

Phishing mit Geister-Accounts

Das Netzwerk besteht laut den Schätzungen von Check Point Security aus gut 3000 Accounts, von denen nur ein Teil Repositories mit Schadcode beziehungsweise Links zu Malware verwaltet. Die Links verweisen zum Teil auf externe Webseiten und teilweise auf den Release-Bereich anderer GitHub-Repositories mit dem Schadcode. Dieser ist wohl meist passwortgeschützt, damit die Scanner von GitHub die Malware nicht erkennen.

Der Großteil der Accounts weist aber keine Repositories mit Inhalten auf, sondern dient dazu, den Ruf der Malware-Repositories zu steigern, damit sie wie reguläre Open-Source-Repositories wirken.

Eine wichtige GitHub-Maßzahl ist die Zahl der Sterne, die über dem Repository angezeigt wird. Viele Sterne signalisieren, dass sich viele User bereits für die Inhalte interessieren. Der Name Stargazer dürfte auf dieses "Starring" abzielen, wie das Vergeben der Sterne im Englischen genannt wird. Die von den Geister-Accounts verteilten Sterne geben dem Repository einen guten Ruf.

Damit nicht genug: Offenbar haben einige Accounts zusätzlich die Repositories geforkt, was ebenfalls ein hohes Interesse am Code signalisieren soll. Anders als bei dem im März aufgedeckte Angriff, der unzählige Klon-Repositories zur Malware-Verteilung nutzte, setzt Stargazer Goblin wohl auf (vermeintliche) Qualität durch Sterne statt Quantität durch schiere Masse.

Die Anzahl der Geister-Accounts schätzt Check Point auf Grundlage eines entdeckten Schemas: ein einfacher Username, dem eine Zahl folgt. Beides wiederholt sich im zugehörigen Readme. Außer der zusätzlichen Lizenzdatei sind die Repositories leer.

Passend zugeschnitten

Die Angreifer verwenden in ihren Repositories Vorlagen, die sie für unterschiedliche Plattformen wie TikTok, Twitch und Instagram anpassen und über unterschiedliche Repositories verteilen. Für unterschiedliche Zielgruppen locken individuelle Vorlagen mit Cheats für Gamer oder Tools zum Erhöhen der Follower-Zahlen für Influencer.

Dabei verwenden sie unterschiedliche Malware-Familien. In einer Angriffswelle hat das Netzwerk den Atlantida Stealer verteilt, der unter anderem Credentials und Kryptowährungen abgreift. Laut Check Point Research wurden 1300 Personen in vier Tagen Opfer des Angriffs. Die Links auf die GitHub-Repositories wurden seinerzeit vermutlich über Discord verteilt. Dabei nutzten die Angreifer kompromittierte Wordpress-Seiten als Zwischenstation. Ein weiterer Angriff erreichte gut 1000 User in zwei Wochen mit der Rhadamanthys-Malware. Daneben hat das Netzwerk den Lumma Stealer, RedLine und RisePro verteilt.

Die Sicherheitsforscher vermuten, dass Stargazer Goblin die Angriffe auch genutzt hat, um an Zugangsdaten für GitHub und andere Plattformen wie YouTube, Discord, Instagram, X und Facebook zu gelangen und die gekaperten Accounts in ihr Geister-Account-Netzwerk einzubeziehen.

Stargazer als Serviceanbieter

Stargazer Goblin bietet das Geister-Account-Netzwerk auch als Dienstleistung an. Check Point Research hat Anfang Juli in einem Dark-Web-Forum eine Werbung auf Englisch und Russisch gefunden, die vor allem das Starring und andere Dienste für GitHub-Repositories auf der Preisliste haben: 100 Sterne kosten 10 US-Dollar. Daneben gibt es erweiterte Angebote für Forks, Watches und das Klonen von Repositories.

Weitere Details lassen sich dem Checkpoint-Security-Blog entnehmen. Ein weiterer Artikel von Check Point Research geht tiefer auf die Details der einzelnen Angriffe ein.

(rme)