Dịch vụ phân phối phần mềm độc hại có tên là Stargazers Ghost Network sử dụng kho lưu trữ GitHub cùng với các trang web WordPress bị xâm nhập để phân phối các kho lưu trữ được bảo vệ bằng mật khẩu có chứa phần mềm độc hại. Trong hầu hết các trường hợp, các phần mềm độc hại như RedLine, Lumma Stealer, Rhadamanthys, RisePro và Atlantida Stealer có mục tiêu chung là đánh cắp thông tin.

Do GitHub là một dịch vụ nổi tiếng, đáng tin cậy nên người dùng ít nghi ngờ hơn và có nhiều khả năng nhấp vào các liên kết được tìm thấy trong kho của dịch vụ hơn.

Check Point Research đã phát hiện ra hoạt động này và cho biết đây là lần đầu tiên một kế hoạch có tổ chức và quy mô lớn như vậy được ghi nhận trên GitHub. Trong Báo cáo của Check Point Research giải thích: “Các chiến dịch do Stargazers Ghost Network thực hiện và phần mềm độc hại được phân phối qua dịch vụ này đều cực kỳ thành công. Trong một khoảng thời gian ngắn, hàng nghìn nạn nhân đã cài đặt phần mềm từ kho lưu trữ hợp pháp mà không nghi ngờ bất kỳ mục đích xấu nào".

Stargazer Goblin đã tích cực quảng bá dịch vụ phân phối phần mềm độc hại trên web đen kể từ tháng 6/2023. Tuy nhiên, Check Point cho biết có bằng chứng cho thấy nó đã hoạt động kể từ tháng 8/2022.

Stargazer Goblin đã thiết lập một hệ thống nơi tạo ra hàng trăm kho lưu trữ bằng cách sử dụng 3.000 tài khoản "ma" giả. Các tài khoản này gắn dấu sao, phân nhánh và đăng ký các kho lưu trữ độc hại để tăng tính hợp pháp rõ ràng và khiến chúng có nhiều khả năng xuất hiện trên phần xu hướng của GitHub. Các kho lưu trữ sử dụng tên và thẻ dự án nhắm mục tiêu đến các sở thích cụ thể như tiền điện tử, trò chơi và mạng xã hội.

Các tài khoản "ma" có các vai trò riêng biệt. Một nhóm phục vụ mẫu lừa đảo, nhóm khác cung cấp hình ảnh lừa đảo và nhóm thứ ba phục vụ phần mềm độc hại, mang lại cho chương trình một mức độ phục hồi hoạt động nhất định.

Nhà nghiên cứu Antonis Terefos giải thích: “Tài khoản thứ ba phục vụ phần mềm độc hại có nhiều khả năng bị phát hiện hơn. Khi điều này xảy ra, GitHub sẽ cấm toàn bộ tài khoản, kho lưu trữ và các bản phát hành liên quan. Để đối phó với những hành động như vậy, Stargazer Goblin cập nhật kho lưu trữ lừa đảo của tài khoản đầu tiên bằng một liên kết mới tới bản phát hành độc hại mới đang hoạt động. Điều này cho phép mạng tiếp tục hoạt động với tổn thất tối thiểu khi tài khoản phân phát phần mềm độc hại bị cấm”.

Các nhà nghiên cứu lưu ý rằng đây có thể là một trong nhiều ví dụ về các kênh được sử dụng để chuyển lưu lượng truy cập đến các kho lưu trữ lừa đảo hoặc các trang phân phối phần mềm độc hại.

Xét về quy mô hoạt động và khả năng tạo ra lợi nhuận của nó, Check Point ước tính rằng tin tặc đã kiếm được hơn 100.000 USD kể từ khi ra mắt dịch vụ. Về phần mềm độc hại được phát tán thông qua hoạt động của Stargazers Ghost Network, Check Point cho biết nó bao gồm RedLine, Lumma Stealer, Rhadamanthys, RisePro và Atlantida Stealer, cùng nhiều loại khác.

Mặc dù, GitHub đã gỡ bỏ hơn 1.500 kho lưu trữ độc hại (về cơ bản là giả mạo) kể từ tháng 5/2024. Tuy nhiên, Check Point cho biết hơn 200 kho lưu trữ hiện đang hoạt động và tiếp tục phân phối phần mềm độc hại. Người dùng truy cập kho GitHub thông qua quảng cáo độc hại, kết quả Tìm kiếm của Google, video YouTube, Telegram hoặc mạng xã hội nên hết sức thận trọng với việc tải xuống tệp và URL họ nhấp vào.

Điều này đặc biệt đúng với các kho lưu trữ được bảo vệ bằng mật khẩu, phần mềm chống vi-rút không thể quét được. Đối với các loại tệp này, người dùng nên giải nén chúng trên máy ảo và quét nội dung được trích xuất bằng phần mềm chống vi-rút để kiểm tra phần mềm độc hại. Nếu không có máy ảo, người dùng cũng có thể sử dụng VirusTotal, phần mềm này sẽ nhắc nhập mật khẩu của kho lưu trữ được bảo vệ để nó có thể quét nội dung của nó. Tuy nhiên, VirusTotal chỉ có thể quét kho lưu trữ được bảo vệ nếu nó chứa một tệp duy nhất.