GitHub, die Plattform für Open-Source-Projekte, ist nicht nur für Entwickler von Nutzen, sondern auch für Cyberkriminelle. Sicherheitsforscher von Check Point haben ein Netzwerk von Geister-Accounts entdeckt, das auf erschreckende Weise Malware verbreitet. Unter dem Namen „Stargazer Goblin“ operiert eine Gruppe, die es geschafft hat, GitHub als Werkzeug für ihre kriminellen Machenschaften zu missbrauchen.

Was ist das Stargazer Ghost Network?

Seit Juni 2023 sorgt ein gewisser Stargazer Goblin auf GitHub für Aufsehen. Allerdings vermutet Check Point, dass die Aktivitäten bereits im August 2022 begonnen haben. Das Netzwerk umfasst rund 3000 Accounts, von denen nur ein Teil Repositories mit Schadcode oder Links zu Malware enthält. Die übrigen Accounts haben keine eigenen Repositories, sondern dienen dem Zweck, die bestehenden Malware-Repositories in den GitHub-Sternenhimmel zu heben.

Ein raffinierter Trick des Stargazer Ghost Networks besteht darin, dass viele der Accounts keine aktiven Inhalte auf ihren Repositories haben, sondern nur dafür da sind, die Reputation der Malware-Repositories durch das „Starring“ (das Setzen von Sternen) zu verbessern. Sterne auf GitHub signalisieren Interesse und Vertrauen in ein Repository. Durch diese gezielte Manipulation erscheinen die gefährlichen Repositories als seriöse Open-Source-Projekte.

Phishing durch Geister-Accounts

Neben dem „Starring“ werden die Geister-Accounts auch verwendet, um den Ruf von Repositories zu steigern. Das geht so weit, dass einige Accounts die Repositories „forken“, um das Interesse zu erhöhen. Dies ist ein klarer Versuch, die Qualität der Repositories vorzutäuschen, indem man sie wie wertvolle, viel genutzte Open-Source-Projekte erscheinen lässt.

Die Angreifer haben es geschafft, die GitHub-Maßzahlen zu ihren Gunsten zu manipulieren. Durch ein einfaches Schema von Benutzernamen und Zahlen, die in den Repositories wiederholt werden, wurden diese Accounts erstellt. Die Repositories selbst sind oft leer oder enthalten nur eine Lizenzdatei, aber das Ziel ist klar: Die Repositories erscheinen durch die Sterne und Forks wertvoll und vertrauenswürdig.

Angepasste Malware für verschiedene Plattformen

Stargazer Goblin nutzt verschiedene Vorlagen für unterschiedliche Plattformen wie TikTok, Twitch und Instagram. Die Malware wird speziell angepasst, um gezielt Gamer oder Influencer anzusprechen. Diese maßgeschneiderte Malware wird über die verschiedenen Repositories verteilt, oft mit dem Ziel, Passwörter, Kryptowährungen oder andere sensible Daten zu stehlen.

Einige der entdeckten Malware-Familien umfassen den Atlantida Stealer, der Zugangsdaten und Kryptowährungen stiehlt, sowie Rhadamanthys-Malware und Lumma Stealer. Ein besonders alarmierendes Beispiel ist die Atlantida-Kampagne, bei der innerhalb von nur vier Tagen etwa 1300 Personen Opfer wurden. Die Links zu diesen Repositories wurden über Discord und kompromittierte WordPress-Seiten verteilt.

Ein Service im Dark Web

Das Stargazer Ghost Network bietet nicht nur Malware, sondern auch „Dienstleistungen“ an. Im Dark Web gibt es Werbung für diese Geister-Accounts, die auch als Service verkauft werden. Für 10 US-Dollar können Käufer 100 Sterne für ihre Repositories erwerben, und es gibt auch Angebote für Forks, Watches und das Klonen von Repositories.

Die Bezahlung für solche Dienste zeigt die Kommerzialisierung von Cyberkriminalität und die zunehmende Professionalität von Angreifern, die gezielt Plattformen wie GitHub ausnutzen, um ihre kriminellen Ziele zu erreichen.

Fazit

Das Stargazer Ghost Network ist ein alarmierendes Beispiel dafür, wie Cyberkriminelle Plattformen wie GitHub missbrauchen können, um Malware zu verbreiten und das Vertrauen in ihre schädlichen Inhalte zu erhöhen. Die Entdeckung durch Check Point zeigt, wie wichtig es ist, bei der Nutzung solcher Plattformen wachsam zu sein und auch den vermeintlich vertrauenswürdigsten Quellen kritisch gegenüberzustehen.

Für detailliertere Informationen über die Angriffe und die spezifische Malware, die durch dieses Netzwerk verbreitet wurde, lohnt sich ein Blick in den Check Point Security Blog und weitere Artikel von Check Point Research.