Onderzoekers ontdekken 3000 nepaccounts op GitHub die malware verspreiden

Onderzoekers van Check Point hebben een netwerk van 3000 kwaadaardige GitHub-accounts ontdekt dat malware verspreidt. De eerste accounts die deel uitmaken van dit 'Stargazers Ghost Network', bestaan vermoedelijk al sinds augustus 2022.

Volgens Check Point-onderzoeker Antonis Terefos slaagde de groep achter het netwerk erin om pagina's op GitHub realistisch te laten lijken. De repository's beweren onder meer code te leveren om vpn's uit te voeren of een licentie te verlenen voor Adobe Photoshop. In werkelijkheid werd er gelinkt naar ransomware en malware, waaronder kwaadwillende software zoals Atlantida Stealer, Rhadamanthys en Lumma Stealer.

Het netwerk wordt door Check Point het Stargazers Ghost Network genoemd, vernoemd naar een van de eerste accounts die de onderzoekers ontdekten. De groep achter het netwerk brengt kosten in rekening aan hackers die gebruikmaken van de diensten, wat ook wel distribution as a service (DaaS) wordt genoemd.

De GitHub-operatie werd ontdekt door Check Point vanwege een advertentie op het dark web. In de periode dat Check Point de advertentiecampagnes van Stargazer Goblin monitorde, van medio mei tot medio juni 2024, zou het netwerk naar schatting zo'n 8000 dollar hebben verdiend. Gedurende de totale levensduur van het netwerk gaat het mogelijk om een bedrag van ongeveer 100.000 dollar.

GitHub heeft inmiddels actie ondernomen tegen de nepaccounts, aldus Wired. Eerder dit jaar brachten onderzoekers van beveiligingsbedrijf Apiiro ook al naar buiten dat het platform overspoeld wordt met malafide repository's. Het platform heeft meer dan 100 miljoen gebruikers met meer dan 400 miljoen repository's, waardoor het een aantrekkelijk doelwit is voor cybercriminelen.

Door Sabine Schults

Redacteur

Feedback • 29-07-2024 20:06
29 • submitter: wildhagen

29-07-2024 • 20:06

29

Submitter: wildhagen

Lees meer

AI als hulpmiddel voor cybercriminelen

11 aug 2024

AI als hulpmiddel voor cybercriminelen

ChatGPT betekent nog geen revolutie in malware

56
Nieuwe Mirai-variant infecteert verouderde IP-camera's
Nieuwe Mirai-variant infecteert verouderde IP-camera's Nieuws van 3 september 2024
'In 2024 werd al 460 miljoen dollar ransomwarelosgeld betaald, mogelijk record'
'In 2024 werd al 460 miljoen dollar ransomwarelosgeld betaald, mogelijk record' Nieuws van 16 augustus 2024
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline Nieuws van 13 augustus 2024
Zes bedrijven gered van ransomware door kwetsbaarheden in websites hackers
Zes bedrijven gered van ransomware door kwetsbaarheden in websites hackers Nieuws van 9 augustus 2024
GitHub laat gebruikers met Models meerdere AI-taalmodellen uitproberen
GitHub laat gebruikers met Models meerdere AI-taalmodellen uitproberen Nieuws van 2 augustus 2024
Nintendo wil met takedownverzoek 8535 Yuzu-forks offline laten halen op GitHub
Nintendo wil met takedownverzoek 8535 Yuzu-forks offline laten halen op GitHub Nieuws van 4 mei 2024
Microsoft zet broncode MS-DOS 4.0 op GitHub
Microsoft zet broncode MS-DOS 4.0 op GitHub .Geek van 26 april 2024
GitHub herstelt repository's van xz, achterdeur is uit tool verwijderd
GitHub herstelt repository's van xz, achterdeur is uit tool verwijderd Nieuws van 10 april 2024
GitHub haalt repository van xz offline na vinden van malware
GitHub haalt repository van xz offline na vinden van malware Nieuws van 31 maart 2024
GitHub repareert automatisch kwetsbaarheden in code met AI-tool
GitHub repareert automatisch kwetsbaarheden in code met AI-tool Nieuws van 21 maart 2024
GitHub schakelt scannen op secrets standaard in voor alle gebruikers
GitHub schakelt scannen op secrets standaard in voor alle gebruikers Nieuws van 1 maart 2024
GitHub overspoeld met malafide repository's
GitHub overspoeld met malafide repository's Nieuws van 29 februari 2024
GitHub begint certificeringsprogramma met vier disciplines
GitHub begint certificeringsprogramma met vier disciplines Nieuws van 9 januari 2024
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Cybersecurity Github Malware

Reacties (29)

-Moderatie-faq
29
28
18
1
0
9
Wijzig sortering
HollowGamer 29 juli 2024 21:39
Het gevaar is dat mensen GitHub zien als veilig. Je kunt zomaar scripts uitvoeren, clonen is geen probleem, en er kan vrijwel niets mis gaan.

Dat is helaas niet zo. Zelfs bij populaire repos kan door account phishing, opeens een andere commit staan dan je verwacht. Of je haalt iemand binnen zoals bij xz.

Voor platforms lijkt het mij een enorme uitdaging. De bots zijn meestal AI, en ook al is het langzaam verdienen, iedereen is blij met 1k op zijn rekening zonder daarvoor veel moeite te doen. Of je hebt iemand als Linus (die van LTT), die doodleuk vraagt waar de download knop zit.

Geen idee hoe ze die bots moeten gaan herkennen? False positives lijkt me op de loer?

[Reactie gewijzigd door HollowGamer op 29 juli 2024 21:40]

The Zep Man
@HollowGamer29 juli 2024 21:50
Dat is helaas niet zo. Zelfs bij populaire repos kan door account phishing, opeens een andere commit staan dan je verwacht.
Daarom dat steeds meer repositories overschakelen op verplichte signed commits. Enkel een account hacken is daarmee niet voldoende.
HollowGamer @The Zep Man29 juli 2024 21:51
Hoe werkt dat precies? Dat is toch op basis van PGP?
rbr320 @HollowGamer29 juli 2024 23:37
Inderdaad. Als je het Github account van iemand hebt gekraakt kan je wel commits maken alsof je die persoon bent, maar zolang ze niet met de juiste PGP sleutel ondertekend zijn kan je er vanuit gaan dat ze niet legitiem zijn en ze dus meteen weggooien.
HollowGamer @rbr32030 juli 2024 08:45
Is dat eenvoudig te doen? Ik heb mij toen een beetje ingelezen erover, maar het was nog niet zo simpel.
rbr320 @HollowGamer30 juli 2024 08:51
Misschien weet @The Zep Man er meer over, ik heb slechts ervaring met signed commits in een afgesloten omgeving waar account hacking geen issue is.
gizmocuz @rbr32030 juli 2024 09:00
Je kan ook met SSH signen, hierbij wat documentatie

https://docs.github.com/e...it-signature-verification

https://docs.github.com/e...ification/signing-commits
The Zep Man
@HollowGamer30 juli 2024 08:58
Is dat eenvoudig te doen? Ik heb mij toen een beetje ingelezen erover, maar het was nog niet zo simpel.
Het betreft een aantal stappen:

1.
Sleutelmateriaal genereren en configureren (eenmalig).

2.
Configureer je lokale repository om de juiste sleutel te gebruiken (eenmalig per lokale repository). Dit is niet strikt nodig, maar aanbevolen wanneer je meerdere PGP sleutels gebruikt.

3.
Commits ondertekenen (TL;DR: voeg -S toe als parameter aan commit-opdrachten).

[Reactie gewijzigd door The Zep Man op 30 juli 2024 10:36]

nandervv @rbr32030 juli 2024 08:45
Maar je kan dan gewoon een nieuwe SSH-key aanmelden, en daarna gewoon met een nieuwe sleutel correcte commits erin sturen....
rbr320 @nandervv30 juli 2024 08:52
SSH en PGP zijn 2 verschillende dingen. SSH is voor authenticatie, waar PGP gebruikt wordt ter verificatie.
bassekeNL @rbr32030 juli 2024 11:03
Voor gpg-sleutels geldt ook dat je er makkelijk één kunt toevoegen. Ik weet niet hoe vaak jij je sleutels checkt, maar ik alleen als ik het instel, daarna nooit meer.
vgroenewold @rbr32030 juli 2024 11:04
Volgens mij kan allebei, althans bij Gitlab wel
Robin92 @rbr32030 juli 2024 12:07
Bij alle grote VCS kun je ook met een SSH key je commits signen. De eis is volgens mij wel dat dat een andere SSH key is dan je gebruikt voor je authenticatie.
Met 1Password is SSH commit signing erg eenvoudig. Evenals authenticatie, maar dat hebben ze al een tijdje.
B_FORCE @HollowGamer30 juli 2024 03:15
Hetzelfde probleem bestaat ook al vele jaren bij Linux.

Kennelijk leven veel mensen in de illusie dat iedereen die zulk soort dingen gebruikt een doorgewinterde programmeur is die direct alle ins- en outs van de code snappen?

Het merendeel download van GitHub gewoon de bestanden of copy-paste de code.

Die opmerking van LTT vind ik overigens absoluut geen rare gedachte.
Veel GitHub pagina's zijn niks anders dan een verkapte website, waar echt maar een zeer klein deel zich ook maar bekommerd om de source code
blorf @B_FORCE30 juli 2024 04:53
Het is een beetje een dilemma voor MS. Van het algehele Windows-publiek gaan maar weinig mensen broncode downloaden en compilen maar Github wil gewoon zoveel mogelijk gebruikers en activiteit, dus gaan ze de drempel verlagen om er meer mensen heen te trekken. Een heleboel gebruiken het bijna hetzelfde als Sourceforge en Cnet downloads, dus programmaatjes installeren voor bepaalde doeleinden zonder uitgebreid te controleren.
Zelf probeer ik alles uit in een test-vm of op een live-systeem.
Roberto538 @HollowGamer29 juli 2024 22:08
ja precies, ik was op zoek naar iets en bleek op GitHub te staan .
Althans dat dacht ik .... toen ik het aanklikte , argeloos dat ik was .
Sloeg meteen malwarebytes en kaspersky op hol ... toen was ik wel blij dat ik toch die dingen gebruik.
Normaal ben ik altijd wel voorzichtig in jaren nooit wat gehad , als je normaal gesproken met gezond verstand op het net gaat .
Was meteen weer wakker geschud ..!! 8)7
HollowGamer @Roberto53829 juli 2024 22:12
Kan ook een besmette fork zijn, die dankzij upvoting zich voordoet als legit.
tweazer @Roberto53830 juli 2024 09:47
Kaspersky zou ik ook de deur uitdoen ....
WillySis @HollowGamer30 juli 2024 10:59
Zodra je aan automatische opsporing gaat doen, dan liggen false positives op de loer. Het is dan aan de ontwikkelaar om de code zo aan te passen dat de onterechte melding wordt voorkomen.
MrFax 29 juli 2024 20:14
Ik heb dit wel eens gezien. Een link op Github waarvan je dacht dat dat was wat je nodig had, maar er bleek alleen een README in te zitten met een malafide link. Ik dacht toen "Huh, nu ook al phishing op Github?" Ik ga er dan ook vanuit dat dit wordt bedoeld. Vaak ging dat via een gist.github.com link met een .md bestand (wat wordt gebruikt voor readme en documentatie).

[Reactie gewijzigd door MrFax op 29 juli 2024 20:18]

Lord Anubis @MrFax29 juli 2024 20:35
Zelf nooit dit tegen gekomen; alhoewel ik als eerste kijk wat ze in algemeen doen of bereikt hebben. Maar ja wat niet is kan nog komen.
REDSD 29 juli 2024 23:20
Ik had zelf ook iets raars, een oud stukje Javascript code welke opeens geforked werd met iets van crypto erbij.
Ik heb geen idee, wat het idee er achter is, maar je weet dat er iets niet klopt.
Robinio010 30 juli 2024 07:27
Het wordt toch steeds lastiger om dit soort spam te ontwijken. Mede door de (grote) bedrijven die luier worden en alle processen maar automatiseren. Zo kwam ik op Google toen ik op de Arc Browser zocht ook op een obscure website die heel erg op de echte leek, via Google Ads.
Bor Coördinator Frontpage Admins / FP Powermod
@Robinio01030 juli 2024 07:33
Echt spam is dit niet. Het is meer het verleiden van mensen om zelf malware te installeren door dit te bundelen met iets wat mensen graag willen hebbben. Dat gebeurt niet alleen op Github maar veel vaker, bijvoorbeeld door malware te bundelen of te vermommen als een crack voor dure licentiesoftware of als "unpacker" bij een zogenaamde pikante video van een bekend persoon. Dit soort zaken richten zich puur op een van de zwakste schakels in beveiliging; de mens.
SunnieNL @Bor30 juli 2024 08:25
Bijna alle 'cracks' voor software bevatten malware. Keygenerators precies hetzelfde. Als je die wilt draaien zou ik het altijd in een VM doen.

Als ik dit zou tegenkomen op github
De repositories beweren onder meer....een licentie te verlenen voor Adobe Photoshop
dan zou ik het sowieso al niet vertrouwen. Die software kost geld, dus dit is al illegaal om een licentie generator te gebruiken. Dit zou sowieso niet op github mogen staan.
Bor Coördinator Frontpage Admins / FP Powermod
@SunnieNL30 juli 2024 09:24
Die software kost geld, dus dit is al illegaal om een licentie generator te gebruiken. Dit zou sowieso niet op github mogen staan.
Dat klopt maar toch vind je er met enige regelmaat wel serials etc voor betaalde software. Die staan een tijdje online voor ze verdwijnen. Wanneer er echt software staat (cracks, keygens etc) kan je er bijna vanuit gaan dat er "meer aan de hand is", dwz dat je malware download.
Robinio010 @Bor30 juli 2024 08:46
Spam = rotzooi, daar vat dit ook onder wat mij betreft. Maar misschien een beetje te lichte benaming voor wat het is. Meeste van dit soort tools proberen admin rechten te verkrijgen om al je wachtwoorden te versturen. Vaak door een gelijkend icoontje etcetera.
Bij de Google Ads ging het om de Atomic Stealer: https://www.malwarebytes....istributed-via-google-ads

[Reactie gewijzigd door Robinio010 op 30 juli 2024 08:49]

Bor Coördinator Frontpage Admins / FP Powermod
@Robinio01030 juli 2024 09:25
Spam zijn ongevraagde berichten met als doel je over te halen iets te doen (kopen etc) en is op zich geen malware en dat is waar het hier om gaat. Infostealers vereisen echt niet altijd admin rechten. Dat hangt ook nog eens van het OS af vaak. Degene die dat wel doen worden dan weer vaak gebundeld met zaken als cracks etc waarbij mensen het vaak toch al niet zo nauw nemen wat betreft de permissies die ze uitdelen.

[Reactie gewijzigd door Bor op 30 juli 2024 09:26]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq