GitHub
es
la
plataforma
líder
para
alojamiento
de
código
y
proyectos
open-source,
y
un
sitio
de
referencia
para
descargarnos
las
últimas
versiones
de
ciertas
aplicaciones…
pero
en
los
últimos
tiempos
se
ha
convertido
también
en
un
objetivo
atractivo
para
cibercriminales
que
buscan
usarla
para
distribuir
malware
de
manera
inadvertida
entre
los
desarrolladores.
Recientemente,
investigadores
de
la
firma
de
ciberseguridad
Check
Point
Research
han
descubierto
una
red
de
cuentas
fantasmas
en
GitHub,
conocida
como
Stargazers
Ghost
Network,
que
distribuye
malware
usando
los
repositorios
de
esta
plataforma…
y,
más
aún,
lleva
ya
un
tiempo
ofreciendo
sus
servicios
previo
pago
en
la
Dark
Web
para
distribuir
eficientemente
código
malicioso
a
través
de
GitHub.
Check
Point
Research
estima
que
el
grupo
que
la
opera,
Stargazer
Goblin,
ha
ganado
más
de
100.000
dólares
desde
que
comenzó
sus
operaciones.
Solo
entre
mayo
y
junio
de
2024,
la
red
generó
aproximadamente
8.000
dólares.
Los
servicios
ofrecidos
en
foros
de
la
dark
web
incluyen
la
venta
de
estrellas
para
repositorios,
forks,
y
cuentas «envejecidas»
para
añadir
una
capa
adicional
de
legitimidad
a
los
repositorios
maliciosos.
La
red,
operada
por
un
grupo
llamado
Stargazer
Goblin,
utiliza
más
de
3.000
cuentas
falsas
qué
es,
cómo
infecta
y
cómo
protegerse
Descubrimiento
y ‘modus
operandi’
El
investigador
Antonis
Terefos
de
Check
Point
Research
fue
el
primero
en
revelar
esta
red
sofisticada,
la
cual
actúa
como
un
servicio
de
distribución
de
malware
(‘Distribution
as
a
Service’
o
DaaS).
Según
los
informes,
la
red
comenzó
sus
actividades
en
agosto
de
2022
y
ha
crecido
exponencialmente
desde
entonces.
Un
ejemplo
de
lo
efectivo
de
su
labor
es
Atlantida
Stealer,
un
malware
que
roba
credenciales
de
usuario
y
carteras
de
criptomonedas.
Durante
una
campaña
en
enero
de
2024,
este
malware
infectó
a
más
de
1.300
víctimas
en
solo
cuatro
días,
tras
haberse
difundido
los
enlaces
a
los
repositorios
maliciosos
a
través
de
canales
de
Discord.
El
nombre ‘Stargazer’
hace
referencia
a
la
práctica
de «starring»
en
GitHub,
donde
las
cuentas
fantasmas
otorgan
estrellas
a
los
repositorios
maliciosos
para
aumentar
su
visibilidad
y
credibilidad.
Esta
táctica
ayuda
a
atraer
a
las
víctimas
a
descargar
el
contenido,
pensando
que
se
trata
de
proyectos
fiables
y
populares.
Cuando
eso
no
funciona,
y
GitHub
detecta
y
elimina
una
cuenta
maliciosa,
los
operadores
de
la
red
rápidamente
reemplazan
los
enlaces
rotos,
asegurando
que
las
operaciones
continúen
con
mínima
interrupción.
Este
enfoque
modular
permite
a
la
red
recuperarse
rápidamente
de
cualquier
acción
tomada
en
su
contra.
Vía
|
CheckPoint
Research
Imagen
|
Marcos
Merino
mediante
IA
