इन्फोसेक शोधकर्ताओं ने मैलवेयर वितरित करने के लिए उपयोग किए जाने वाले तीन हजार से अधिक दुर्भावनापूर्ण GitHub खातों के एक नेटवर्क की खोज की, जो गेमर्स, मैलवेयर शोधकर्ताओं और यहां तक कि अन्य खतरनाक अभिनेताओं सहित समूहों को लक्षित करता है जो मैलवेयर वितरित करने के लिए खुद की तलाश कर रहे हैं।
अनुसंधानचेक प्वाइंट सॉफ्टवेयर के एंटोनिस टेरेफोस द्वारा लिखित, गिटहब खातों के संग्रह को “स्टारगेज़र घोस्ट नेटवर्क” नाम दिया गया है और दावा किया गया है कि इसे “स्टारगेज़र गोब्लिन” नामक साइबर सुरक्षा फर्म द्वारा संचालित किया गया था।
इसका नाम जो भी हो, इस प्रयास के पीछे प्रेरक दल ने दो नवीन रणनीतियाँ अपनाईं।
बिना ईमेल के फ़िशिंग एक आम बात है. टेरेफोस का मानना है कि ईमेल को संदेह की दृष्टि से देखा जाता है, यही कारण है कि स्टारगेज़र गोब्लिन डिस्कॉर्ड जैसी सेवाओं पर दुर्भावनापूर्ण लिंक पोस्ट करता है। लक्ष्य वे लोग हैं जो “ट्विच, इंस्टाग्राम, यूट्यूब, ट्विटर, ट्रोवो और टिकटॉक पर अपने ‘फॉलोअर ऑडियंस’ को बढ़ाना चाहते हैं या किक चैट, टेलीग्राम, ईमेल और डिस्कॉर्ड के लिए अन्य टूल-संबंधित सुविधाओं का उपयोग करना चाहते हैं।”
यदि ये लक्ष्य किसी लिंक पर क्लिक करते हैं, तो वे स्टारगेज़र गोब्लिन के दूसरे दुष्ट नवाचार पर ठोकर खाते हैं: प्रतीत होता है कि हानिरहित GitHub खातों का एक नेटवर्क। वास्तव में, ये खाते अलग-अलग कार्य करते हैं जो मैलवेयर के प्रसार में योगदान करते हैं, लेकिन स्पष्ट रूप से इतने दुर्भावनापूर्ण नहीं हैं कि कोडिंग सहयोग सेवा उन्हें बंद कर दे।
उनमें से कुछ को अन्य GitHub खातों द्वारा तारांकित या सत्यापित भी किया गया है, जिससे उन्हें वैधता का आभास होता है।
लेकिन उनमें ख़तरा है. शोधकर्ता ने पाया कि कुछ निक्षेपों में a README.md फ़ाइल में “एक फ़िशिंग डाउनलोड लिंक है जो रिपॉजिटरी के स्वयं के संस्करणों पर रीडायरेक्ट भी नहीं करता है। इसके बजाय, यह विभिन्न “जिम्मेदारियों” के साथ तीन GitHub घोस्ट खातों का उपयोग करता है। »
- पहला खाता “फ़िशिंग” रिपॉजिटरी मॉडल पर कार्य करता है;
- दूसरा खाता फ़िशिंग मॉडल के लिए उपयोग की गई “छवि” प्रदान करता है;
- तीसरा खाता मैलवेयर-प्रूफ संस्करण में पासवर्ड-सुरक्षित संग्रह के रूप में कार्य करता है।
और जब पीड़ित इन अभिलेखों तक पहुंचते हैं… तो आप जानते हैं कि आगे क्या होता है।
मल्टी-अकाउंट संरचना का मतलब है कि स्टारगेज़र गोब्लिन “दुर्भावनापूर्ण गतिविधि के लिए प्रतिबंधित खातों या रिपॉजिटरी के कारण उत्पन्न होने वाले किसी भी टूटे हुए लिंक को तुरंत ठीक कर सकता है,” टेरेफोस ने लिखा। इसका मतलब यह भी है कि नेटवर्क संभवतः स्वचालन का उपयोग करके समझौता किए गए घटकों को जल्दी से बदल सकता है, जिसका अर्थ है कि खतरनाक खातों को हटाने से मैलवेयर वितरण संचालन बाधित नहीं होता है।
जेनरेटिव एआई का उपयोग वैध दिखने वाले रिपॉजिटरी और खाते बनाने के लिए भी किया जा सकता था – और शायद वास्तविक उपयोगकर्ताओं के लिए वैयक्तिकृत प्रतिक्रियाएं बनाने के लिए भी।
यह काम करता है, लानत है
इनमें से एक अभियान बेहद सफल रहा. जनवरी 2024 में चार दिनों की अवधि में, चेक प्वाइंट ने देखा कि स्टारगेज़र शैडो नेटवर्क ने अटलांटिडा चोर को वितरित किया – मैलवेयर का एक नया परिवार जो उपयोगकर्ता क्रेडेंशियल और क्रिप्टोकरेंसी वॉलेट के साथ-साथ अन्य व्यक्तिगत पहचान योग्य जानकारी चुराता है – और 1,300 से अधिक संक्रमणों का कारण बनता है।
उसी समय, रैडामैन्थिस को उन रिपॉजिटरी में वितरित करने के लिए एक और अभियान शुरू किया गया था जो स्पष्ट रूप से पायरेटेड सॉफ़्टवेयर और क्रिप्टोकरेंसी ट्रेडिंग टूल के लिए थे। मैलवेयर की होस्ट वेबसाइट पर मिले सांख्यिकी पृष्ठ के आधार पर शोधकर्ताओं का कहना है कि दो सप्ताह में एक हजार से अधिक उपयोगकर्ताओं ने मैलवेयर डाउनलोड किया।
टेरेफोस का मानना है कि समूह के कुछ अभियानों ने कंप्यूटर सुरक्षा शोधकर्ताओं या प्रतिद्वंद्वी मैलवेयर गिरोहों को भी लक्षित किया हो सकता है, क्योंकि फ़िशिंग लिंक के कारण कुख्यात सूचना चोरी करने वाले राइजप्रो का एक हैक किया गया संस्करण सामने आया था जिसे दुर्भावनापूर्ण सॉफ़्टवेयर फैलाने के लिए संशोधित किया गया था।
लक्ष्य जो भी हो, प्रयास लाभदायक साबित हुआ है: टेरेफोस का अनुमान है कि इस मैलवेयर गतिविधि ने पिछले वर्ष लगभग $100,000 उत्पन्न किए।
लेकिन यह केवल GitHub से संबंधित है। शोधकर्ताओं को संदेह है कि समूह अन्य वेबसाइटों पर भी काम कर सकता है। यह संभावित रूप से GitHub रिपॉजिटरी द्वारा इंगित किया गया है जो एक YouTube ट्यूटोरियल से लिंक करता है जो बताता है कि एक प्रोग्राम को कैसे इंस्टॉल किया जाए जो वास्तव में मैलवेयर है। अध्ययन से यह भी पता चलता है कि अटलांटिडा के अभियान ने अन्य प्लेटफार्मों पर खाते हासिल करने के लिए सोशल मीडिया में रुचि रखने वाले उपयोगकर्ताओं को लक्षित किया, जिनका उपयोग गिटहब की तरह मैलवेयर वितरित करने के लिए किया जा सकता है।
को एक बयान में रजिस्टरGitHub के प्रवक्ता ने कहा कि प्लेटफ़ॉर्म “… रिपोर्ट किए गए सुरक्षा मुद्दों की जांच करने के लिए प्रतिबद्ध है। हमने GitHub की स्वीकार्य उपयोग नीतियों के अनुसार उपयोगकर्ता खातों को अक्षम कर दिया है, जो ऐसी सामग्री पोस्ट करने पर रोक लगाता है जो सीधे अवैध सक्रिय हमलों या तकनीकी नुकसान पहुंचाने वाले मैलवेयर अभियानों का समर्थन करती है। »®
