网络犯罪分子正在使用GitHub通过虚假账户传播恶意软件。了解“Stargazers Ghost”网络的运作方式以及如何保护自己免受这种恶意计划的侵害。了解识别可疑存储库和保持在线安全的技巧。

Check Point Research(CPR)的研究人员发现了一个恶意行为者网络，该网络利用世界上最大的源代码托管平台GitHub来传播恶意软件。这个被称为“Stargazers Ghost”的网络利用一个看似合法的账户网络来传播恶意软件。

这些“幽灵”账户通过创建存储库并执行诸如分叉、加星标和订阅等活动来模仿合法用户，从而为其行为提供虚假的合法性并诱骗受害者下载“广告”内容，从而诱骗毫无戒心的用户。

恶意软件通常通过嵌入在这些存储库中的恶意链接进行传播。不知情的用户点击这些链接后，会在不知情的情况下下载并安装恶意软件到他们的设备上。

由于网络的发展，账户数量尚不清楚。最近的计算表明，Ghost账户超过3000个，甚至可能更多，因为30个存储库的活动使用了大约380个Ghost账户

根据CPR的报告，Stargazers Ghost使用了相同的标签和图像，但将目标受众从一个社交媒体应用程序或破解软件切换到另一个，使用相同的模板，这表明它自动化了活动以确保效率和可扩展性。

此外，该活动使用了三个具有不同职责的GitHub Ghost帐户：提供网络钓鱼存储库模板、提供图像以及将恶意软件作为受密码保护的存档提供。

该网络通过提供恶意存储库来挑战传统的恶意软件攻击方式，其中的链接由多个GitHub帐户加星标并验证，以确保其合法性。

CPR在2024年1月的一次活动中发现了2200多个涉及“Ghost”活动的恶意存储库，其中分发了Atlantida窃取程序，这是一种窃取用户凭据和加密货币钱包的新恶意软件家族。在四天内，超过1300名受害者被感染。其他首选恶意软件包括Rhadamanthys、RisePro、Lumma Stealer和RedLine。

研究人员认为，指向GitHub存储库的恶意链接可能是通过Discord频道分发的，针对YouTube、TikTok、Twitch和Instagram关注者，并包含破解软件和加密相关活动的网络钓鱼模板。

CPR的报告指出，该网络“充当分发即服务(DaaS)”，允许“威胁行为者共享恶意链接或恶意软件，并通过高度以受害者为导向的网络钓鱼存储库进行分发”。

社交媒体、游戏和加密货币用户是该网络勒索软件感染、凭证窃取和钱包被盗的主要目标。目前，类似的方法主要针对Windows用户，也可能影响Linux或Android用户。

自2022年8月据称成立以来，该计划已通过GitHub上的3000多个幽灵账户产生了超过100000美元的收入，并从2024年5月中旬至6月中旬产生了约8000美元的收入。

一年前，CPR在暗网论坛上发现了一则广告，其中提供了要采取的行动价格清单，自此该网络的运营商Stargazer Goblin开始出名。

Check Point Research网络安全、研究与创新经理Alexander Chailytko表示：“像GitHub这样的大型平台被Stargazers Ghost Network这样的复杂组织利用来传播恶意软件，这令人担忧。”

“这种精准攻击可能会影响全球大量受害者，导致严重后果。我们还在YouTube上发现了类似的活动，这表明恶意软件分发即服务(DaaS)方法发生了转变，攻击者利用流行平台秘密传播感染，”他补充道。

为了安全起见，请谨慎对待不熟悉的存储库和存储库内的链接。在下载任何内容之前，请先研究开发人员和项目，除非绝对有信心，否则不要点击链接。