Hacker-Bande "Stargazers Ghost Network"

Malware-Netzwerk auf GitHub entdeckt

Hacker, Stargazers Ghost Network, GitHub, Malware
Quelle: Maor_Winetrob / Shutterstock.com

Check Point Software Technologies Ltd. hat eine ausgeklügelte Hacker-Kampagne entdeckt. Diese als Stargazers Ghost Network benannte Operation verteilt Malware über Ghost-Benutzerkonten auf der sehr beliebten Entwickler-Plattform GitHub. Es ist das erste Mal, dass solch ein Netzwerk aufgedeckt wurde.

Eine verblüffend ähnliche Kampagne läuft außerdem über Youtube und könnte damit zusammenhängen.

Anzeige
Betrügerisches GitHub-Repository
Bild 1: Betrügerisches GitHub-Repository (Check Point Software Technologies Ltd.).

GitHub, der weltweit größte Quellcode-Host, ist integraler Bestandteil von über 100 Millionen Entwicklern und bietet mehr als 420 Millionen Repositories. Behörden, Software-Ingenieure, Programmierer von Unternehmen, auch Konzernen, und Programmierstudenten nutzen GitHub, um ihre Projekte zu optimieren. Check Point Research (CPR) hat nun jedoch das Stargazers Ghost Network aufgedeckt, eine Ansammlung von Ghost-Accounts, die Malware über Phishing-Repositories verbreiten, indem sie gefälschte Benutzerkonten nutzen, um organisch Phishing-Angriffe durchzuführen und die Repositories durch starring, forking und abonnieren legitim erscheinen zu lassen. Der Betreiber dieses Ghost-Netzwerks ist eine Person, die als Stargazer Goblin bekannt ist und erst vor etwa einem Jahr in Erscheinung trat, als CPR zum ersten Mal eine Anzeige in Dark-Web-Foren sah, die eine Preisliste für jede Aktion enthielt.

Diese betrügerischen Repositories sind sehr gut auf die Opfer zugeschnitten und zielen auf Nutzer, die sich für soziale Medien, Video-Spiele, Krypto-Währungen und dergleichen interessieren. Die Folgen, wenn man diesen Angriffen zum Opfer fällt, reichen von Ransomware-Infektionen über gestohlene Anmeldeinformationen, die in weiteren Phishing-Angriffen verwendet werden, bis hin zu gestohlenen Krypto-Währungsgeldbörsen. Obwohl die aktuellen Ziele in erster Linie Windows-Benutzer sind, könnten ähnliche Methoden auch auf Linux- oder Android-Benutzer angewandt werden.

Allein von Mitte Mai bis Mitte Juni 2024 verdiente Stargazer Goblin etwa 8000 US-Dollar. Seit der mutmaßlichen Gründung des Stargazer Netzwerks im August 2022 hat es schätzungsweise über 100 000 US-Dollar durch mehr als 3000 Geisterkonten auf GitHub erschummelt. In Anbetracht der Schwere dieser Erkenntnisse rät Check Point allen GitHub-Nutzern zu äußerster Vorsicht bei Repositories, die Download-Links für ausführbare Dateien enthalten, sogar dann, wenn diese aus seriösen Quellen stammen. Außerdem ist Vorsicht geboten bei Commits, die Links ändern oder hinzufügen.

Anzeige

Alexander Chailytko, Cyber Security, Research & Innovation Manager bei Check Point Research, erklärt:

„Es ist alarmierend, dass eine große Quellcode-Plattform wie GitHub, mit mehr als 14 Millionen Besuchern pro Tag, für die Verbreitung von Malware missbraucht wird, insbesondere von einem so gut organisierten Netzwerk wie dem Stargazers Ghost Network. In Anbetracht der präzisen Zielsetzung könnte diese Bedrohung eine große Anzahl von Opfern weltweit zur Folge haben, was neben möglichen Ransomware-Infektionen, gestohlenen Anmeldeinformationen und attackierten Krypto-Währungs-Wallets noch weitere weitreichende Auswirkungen haben könnte.

Dies liegt daran, dass eine ähnliche Kampagne identifiziert werden konnte, die auf YouTube operiert, was glauben lässt, dass es einen Wechsel im Ansatz der Malware Distribution as a Service (DaaS) gibt, der populäre Plattformen nutzt, um Infektionen auf eine verdeckte Art und Weise an so viele Nutzer wie möglich zu schicken. Dieses GitHub-Account-Netzwerk ist Teil eines größeren Plans der bösartigen Verbreitung.“

Missbrauch von Youtube zur Malware-Verbreitung
Bild 2: Missbrauch von Youtube zur Malware-Verbreitung (Check Point Software Technologies Ltd.).

Mehr dazu lesen Sie hier.

(vp/Check Point Software Technologies Ltd.)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.