WIRED’ın incelediği yeni bir araştırmaya göre, GitHub’daki yaklaşık 3.000 “hayalet” hesaptan oluşan gizli bir ağ, kötü amaçlı yazılım ve kimlik avı bağlantılarını tanıtmak için kod barındıran web sitesindeki sayfaları sessizce manipüle ediyor.
Siber güvenlik şirketi Check Point’teki araştırmacılara göre, en azından geçen yılın Haziran ayından beri “Stargazer Goblin” olarak adlandırdıkları bir siber suçlu, Microsoft’a ait platformda kötü amaçlı kod depoları barındırıyor. GitHub, milyonlarca geliştiricinin çalışmasına ev sahipliği yapan dünyanın en büyük açık kaynaklı kod web sitesidir. Stargazer Goblin, kötü amaçlı depoları yüklemenin yanı sıra, GitHub’ın kendi topluluk araçlarını kullanarak sayfaları güçlendiriyor.
Check Point’te kötü amaçlı yazılım tersine mühendisi olan ve bu kötü niyetli davranışı keşfeden Antonis Terefos, ağın arkasındaki kişiliğin kötü amaçlı sayfaları “yıldızlamak”, “çatallamak” ve “izlemek” için sahte hesaplarını kullandığını söylüyor. Bu eylemler (sırasıyla beğenme, paylaşma ve abone olmaya gevşek bir şekilde benzer) sayfaların popüler ve orijinal görünmesine yardımcı oluyor. Ne kadar çok yıldız varsa, sayfa o kadar gerçekçi görünüyor. Terefos, “Kötü amaçlı depolar gerçekten meşru görünüyordu” diyor.
Terefos, kişiliğin arkasındaki kişi hakkında “Bunu geliştirme şekli gerçekten akıllıca, GitHub’ın nasıl çalıştığından faydalanıyor,” diyor. Siber suçlular yıllardır GitHub’ı kötüye kullanıyor, kötü amaçlı kodlar yüklüyor ve meşru depoları uyarlıyor olsa da Terefos, platformda daha önce bu şekilde çalışan sahte hesaplardan oluşan bir ağ görmediğini söylüyor. Depoların alım satımı ve yıldız verme, siber suçla bağlantılı bir Telegram kanalı ve suç pazar yerlerinde koordine ediliyor. WIRED daha önce diğer GitHub kara pazarlarını bildirmişti.
Check Point’in ilk tespit ettiği hesaplardan birinin adını verdiği Stargazers Ghost Network, sosyal medya, oyun ve kripto para araçlarının indirilmesini sağlayan kötü amaçlı GitHub depoları yayıyor. Örneğin, sayfalar bir VPN çalıştırmak veya Adobe’nin Photoshop’unun bir sürümünü lisanslamak için kod sağladığını iddia ediyor olabilir. Araştırmaya göre bunlar çoğunlukla Windows kullanıcılarını hedef alıyor ve potansiyel olarak çevrimiçi olarak ücretsiz yazılım arayan kişilerden yararlanmayı amaçlıyor.
Ağın arkasındaki operatör, Check Point’in “hizmet olarak dağıtım” olarak adlandırdığı hizmetlerini kullanmaları için diğer bilgisayar korsanlarından ücret alıyor. Check Point, zararlı ağın Atlantida Stealer, Rhadamanthys ve Lumma Stealer dahil olmak üzere çeşitli türlerde fidye yazılımı ve bilgi hırsızı kötü amaçlı yazılımları paylaştığını tespit ettiğini söylüyor. Terefos, ağı Atlantida Stealer örneklerini araştırırken keşfettiğini söylüyor. Araştırmacı, çalınan oturum açma bilgileri kullanılarak meşru GitHub hesaplarının da ele geçirildiğini gördüğü için ağın beklediğinden daha büyük olabileceğini söylüyor.
GitHub’ın Kabul Edilebilir Kullanım Politikaları uyarınca kullanıcı hesaplarını devre dışı bıraktık. Bu politikalar, doğrudan yasa dışı aktif saldırıları veya teknik zararlara yol açan kötü amaçlı yazılım kampanyalarını destekleyen içeriklerin yayınlanmasını yasaklıyor,” diyor GitHub’ın güvenlik operasyonları başkan yardımcısı Alexis Wales. “Bu politikaları ihlal eden içerikleri ve hesapları tespit etmeye, analiz etmeye ve kaldırmaya adanmış ekiplerimiz var.”
GitHub, platformda 420 milyondan fazla depoya katkıda bulunan 100 milyondan fazla kullanıcıya sahiptir. Platformun genişliği göz önüne alındığında, siber suçluların ve bilgisayar korsanlarının onu kötüye kullanmaya çalışması şaşırtıcı değildir. Son yıllarda, araştırmacılar sahte yıldızların örneklerini haritalıyor, projelerde gizlenmiş tehlikeli kodları tespit ediyor, açık kaynaklı yazılımlara karşı artan tedarik zinciri saldırılarıyla karşı karşıya kalıyor ve yorumların kötü amaçlı yazılım yaymak için kullanıldığını görüyor.