信息安全研究人员发现了一个由三千多个恶意的 GitHub 账户组成的网络,该网络被用于传播恶意软件,目标群体包括游戏玩家、恶意软件研究人员,甚至还有其他试图传播恶意软件的威胁行为者。
这项由 Check Point 软件公司的安东尼奥斯・泰雷福斯(Antonis Terefos)撰写的研究,将这些 GitHub 账户的集合命名为 “观星者幽灵网络”,并声称它是由一个被这家网络安全公司称为 “占星者地布林” 的威胁行为者所操控。
不管怎么称呼它,推动这一行动的乌合之众采用了两种新奇的策略。
其一是无邮件钓鱼攻击。泰雷福斯认为,人们对电子邮件心存疑虑,所以 “占星者地布林” 会在诸如 Discord 这样的服务平台上发布恶意链接。目标对象是那些 “想要在 Twitch、Instagram、YouTube、Twitter、Trovo 和 TikTok 上增加‘粉丝数量’,或者想要使用与 Kick Chat、Telegram、电子邮件和 Discord 相关的其他工具功能” 的人。
如果这些目标对象点击了链接,他们就会遇到 “占星者地布林” 的第二个邪恶 “发明”:一个由看似无害实则具有欺骗性的 GitHub 账户组成的网络。实际上,这些账户执行着不同的功能来帮助传播恶意软件,但又没有明显到让这个代码协作服务平台将它们封禁。
其中一些账户甚至还被其他 GitHub 账户标记为 “星标” 或通过了验证,这让它们看起来颇具合法性。
但它们暗藏危险。研究人员观察到,一些代码库中包含一个文件,其中的 README.md 文件里有 “一个网络钓鱼下载链接,该链接甚至不会重定向到代码库自身的发布内容。相反,它使用了三个具有不同‘职责’的 GitHub 幽灵账户”。
第一个账户提供 “网络钓鱼” 代码库模板;
第二个账户提供用于网络钓鱼模板的 “图片”;
第三个账户在发布内容中以受密码保护的存档形式提供恶意软件。
而当受害者访问那个存档时…… 你知道接下来会发生什么。
泰雷福斯写道,这种多账户结构意味着 “占星者地布林” 能够 “迅速‘修复’任何可能因账户或代码库因恶意活动被封禁而出现的无效链接”。这也意味着该网络能够迅速替换被攻破的组件,很可能是通过自动化手段实现的,也就是说,关停危险账户并不会干扰恶意软件的传播操作。
生成式人工智能可能也被用于创建看似合法的代码库和账户,甚至可能还用于针对真实用户生成定制化的回复。
这招还真有效
其中一次行动大获成功。在 2024 年 1 月的四天时间里,Check Point 观察到 “观星者幽灵网络” 传播了 “阿特兰蒂达” 窃取器 —— 这是一种新型恶意软件家族,能够窃取用户凭证、加密货币钱包以及其他个人身份信息,并且成功导致了 1300 多起感染事件。
大约在同一时间,另一次行动启动,目的是通过表面上用于破解软件和加密货币交易工具的代码库来传播 “拉达曼迪斯” 恶意软件。研究人员称,根据他们在恶意软件所在的托管网站上找到的一个统计页面显示,在两周内有超过一千名用户下载了该恶意软件。
泰雷福斯认为,该团伙的一些行动甚至可能将目标对准了信息安全研究人员,或者是与之竞争的恶意软件团伙,因为那个网络钓鱼链接指向的是一个已知信息窃取软件 “RisePro” 的破解版本,而且这个版本已被修改,用于传播恶意软件。
不管目标是谁,事实证明这些行动利润丰厚:泰雷福斯认为,在过去一年里,这个恶意软件业务可能已经赚取了大约 10 万美元。
但这只是在 GitHub 平台上的情况 —— 研究人员怀疑该团伙可能也在其他网站上活动。有一个 GitHub 代码库链接到了一个 YouTube 教程,而这个教程所教的如何安装的程序实际上是恶意软件,这可能就表明了这一点。该研究还表明,“阿特兰蒂达” 恶意软件的传播行动针对的是对社交媒体感兴趣的用户,目的是获取其他平台上的账户,这些账户可以像 GitHub 账户一样被用于传播恶意软件。
GitHub 的一位发言人在向《登记簿》(The Register)发表的一份声明中表示,该平台 “…… 致力于调查所报告的安全问题。我们会根据 GitHub 的可接受使用政策禁用用户账户,该政策禁止发布直接支持非法主动攻击或正在造成技术危害的恶意软件活动的内容”。
发表评论
您还未登录,请先登录。
登录