تقوم شبكة “شبح” القراصنة بنشر البرامج الضارة بهدوء على GitHub
قامت شبكة سرية تضم حوالي 3000 حساب “شبح” على GitHub بالتلاعب بهدوء بالصفحات الموجودة على موقع استضافة التعليمات البرمجية للترويج لروابط البرامج الضارة والتصيد الاحتيالي، وفقًا لبحث جديد اطلعت عليه WIRED.
منذ يونيو من العام الماضي على الأقل، وفقًا للباحثين في شركة Check Point للأمن السيبراني، كان مجرم إلكتروني أطلقوا عليه اسم “Stargazer Goblin” يستضيف مستودعات التعليمات البرمجية الضارة على النظام الأساسي المملوك لشركة Microsoft. GitHub هو أكبر موقع ويب مفتوح المصدر للتعليمات البرمجية في العالم، ويستضيف الملايين من أعمال المطورين. بالإضافة إلى تحميل المستودعات الضارة، يعمل Stargazer Goblin على تعزيز الصفحات باستخدام أدوات مجتمع GitHub الخاصة.
يقول أنتونيس تيريفوس، وهو مهندس عكسي للبرامج الضارة في Check Point والذي اكتشف السلوك الشائن، إن الشخصية التي تقف وراء الشبكة تستخدم حساباتها الزائفة “لتمييز” الصفحات الضارة و”الشوكة” و”مشاهدتها”. تساعد هذه الإجراءات – التي تشبه بشكل عام الإعجاب والمشاركة والاشتراك على التوالي – في جعل الصفحات تبدو شائعة وحقيقية. كلما زاد عدد النجوم، كلما كانت الصفحة تبدو أكثر واقعية. يقول تيريفوس: “تبدو المستودعات الضارة مشروعة حقًا”.
يقول تيريفوس عن الشخص الذي يقف وراء الشخصية: “إن الطريقة التي طورها بها ذكية حقًا، حيث تستفيد من كيفية عمل GitHub”. وبينما كان مجرمو الإنترنت يسيئون استخدام GitHub لسنوات، ويقومون بتحميل تعليمات برمجية ضارة وتكييف المستودعات المشروعة، يقول Terefos إنه لم ير من قبل شبكة من الحسابات المزيفة تعمل بهذه الطريقة على المنصة. يتم تنسيق بيع وشراء المستودعات والبطولة على قناة Telegram المرتبطة بالجرائم الإلكترونية والأسواق الإجرامية. ذكرت WIRED سابقًا عن الأسواق السوداء الأخرى لـ GitHub.
تقوم شبكة Stargazers Ghost Network، التي أطلق عليها اسم Check Point على اسم أحد الحسابات الأولى التي رصدتها، بنشر مستودعات GitHub الضارة التي توفر تنزيلات لوسائل التواصل الاجتماعي والألعاب وأدوات العملة المشفرة. على سبيل المثال، قد تدعي الصفحات أنها توفر تعليمات برمجية لتشغيل VPN أو ترخيص إصدار من Adobe Photoshop. يقول البحث إن هذه تستهدف في الغالب مستخدمي Windows، وتهدف إلى الاستفادة من الأشخاص الذين يحتمل أن يبحثوا عن برامج مجانية عبر الإنترنت.
يفرض المشغل الذي يقف وراء الشبكة رسومًا على المتسللين الآخرين لاستخدام خدماتهم، وهو ما تسميه Check Point “التوزيع كخدمة”. وقد تم رصد الشبكة الضارة وهي تشارك أنواعًا مختلفة من برامج الفدية والبرامج الضارة لسرقة المعلومات، حسبما تقول Check Point، بما في ذلك Atlantida. السارق، ورادامانثيس، ولوما ستيلر. يقول Terefos إنه اكتشف الشبكة أثناء بحثه عن حالات Atlantida Stealer. يقول الباحث إن الشبكة يمكن أن تكون أكبر مما يتوقع، حيث شهد أيضًا الاستيلاء على حسابات GitHub المشروعة باستخدام تفاصيل تسجيل الدخول المسروقة.
يقول Alexis Wales، نائب رئيس العمليات الأمنية في GitHub: “لقد قمنا بتعطيل حسابات المستخدمين وفقًا لسياسات الاستخدام المقبول لـ GitHub، والتي تحظر نشر محتوى يدعم بشكل مباشر الهجوم النشط غير القانوني أو حملات البرامج الضارة التي تسبب أضرارًا فنية”. “لدينا فرق مخصصة لاكتشاف وتحليل وإزالة المحتوى والحسابات التي تنتهك هذه السياسات”.
لدى GitHub أكثر من 100 مليون مستخدم ساهموا بأكثر من 420 مليون مستودع على المنصة. ونظرًا لاتساع نطاق المنصة، فليس من المستغرب أن يحاول مجرمو الإنترنت والمتسللون إساءة استخدامها. في السنوات الأخيرة، قام الباحثون برسم خرائط لحالات النجوم الزائفة، واكتشفوا تعليمات برمجية خطيرة مخبأة في المشاريع، ومواجهة هجمات متزايدة على سلسلة التوريد ضد البرامج مفتوحة المصدر، ورؤية التعليقات المستخدمة لنشر البرامج الضارة.