Bu hayalet hesaplar, ücretsiz yazılım gibi görünen kodları barındırarak, özellikle Windows kullanıcılarını hedef alıyor. Check Point güvenlik araştırmacısı Antonis Terefos, ağın bir “hizmet olarak dağıtım” (DaaS) operasyonu olduğunu belirterek, hackerların kötü amaçlı bağlantıları ve yazılımları “kurban odaklı kimlik avı havuzları” aracılığıyla paylaştığını söyledi.
Terefos, ağın Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer ve Redline gibi çeşitli kötü amaçlı yazılım ailelerini dağıtan 3.000’den fazla aktif hayalet hesaba sahip olduğunu bildirdi. Bu hayalet hesaplar, diğer kötü amaçlı hesaplara ve havuzlara güvenilirlik kazandırmak için yıldızlama, takip etme, forklama ve izleme gibi işlemler yaparak sahte bir güvenilirlik sağlıyor.
Check Point, 8 Temmuz 2023’te bir reklamcının hizmetlerini dark web üzerinde sunduğunu ve GitHub’da istenilen diğer tüm işlemleri gerçekleştirdiğini tespit etti. Örneğin, bir havuzu 100 hesapla yıldızlamanın maliyeti 10 dolar’dı.
Mayıs ve Haziran 2024 arasındaki havuz ve işlemleri kullanarak Check Point, Stargazer Goblin’in 8.000 dolar kazandığını hesapladı ve bunun grubun gerçek karının sadece bir kısmı olduğunu öne sürdü.
Check Point, “Stargazers Ghost Network’ün Temmuz 2023’ten bu yana kamuya açık olarak faaliyet gösterdiği ve muhtemelen Ağustos 2022’den beri daha küçük ölçekte faaliyet gösterdiği göz önüne alındığında, toplam kârın yaklaşık 100.000 dolar olduğunu tahmin ediyoruz.” açıklamasını yaptı.
Bu tehdit grubu, GitHub’ı benzersiz yollarla manipüle edebiliyor. Checkmarx araştırmacıları, 2024 başlarında, tehdit aktörlerinin GitHub’ın Action aracını kötü amaçlı havuzları güncellemek için kullandığını, küçük değişikliklerle görünürlüğü artırdığını ve sahte hesaplar yaratarak bu havuzları teşvik ettiğini keşfetti.
Lasso Security’nin Nisan 2024’te yayımladığı bir raporda, hackerların, ChatGPT gibi chatbotlardan sıklıkla yanlış paket önerileri kullanarak zararlı içeriklerini gizlediği belirtildi.
Terefos, GitHub’ın kötü amaçlı içerik dağıtmak için uzun süredir kullanıldığını ancak Stargazer Ghost Network’ün yeni bir düzeyde sofistike olduğunu söyledi. Bu ağın, GitHub’ın operasyonlarını bozma girişimlerine karşı dayanıklılık gösterebildiğini belirtti.