Un réseau fantôme niché au sein de GitHub distribue des logiciels malveillants à grande échelle, défiant les systèmes de sécurité et mettant en danger des milliers d’entreprises et d’équipes de développement.
Retenez ce nom : ‘Stargazer Goblin‘. Ce gang de cybercriminels a créé un service de distribution de malwares (MDaaS) exploitant plus de 3000 comptes GitHub fictifs. Ce service, baptisé Stargazers Ghost Network, utilise ainsi des dépôts GitHub ainsi que des sites WordPress compromis pour distribuer à grande échelle des archives protégées par mot de passe contenant des malwares.
Selon Check Point Research à l’origine de cette découverte, les malwares ainsi distribués sont essentiellement des voleurs de données (infostealers) tels que RedLine, Lumma Stealer, Rhadamanthys, RisePro et Atlantida Stealer.
Un schéma sophistiqué et lucratif
GitHub est un service bien connu et de confiance, essentiel aux équipes de développement de bien des entreprises. Des développeurs qui ont besoin de souplesse et d’agilité ce qui implique souvent de leur laisser une certaine liberté qui se traduit par des droits plus laxistes et une tendance à faire confiance par défaut au site GitHub. Sans compter que les utilisateurs sont moins susceptibles de se méfier des liens trouvés dans les dépôts de ce site. Une aubaine pour les cybercriminels.
Ce n’est pas la première fois que des acteurs de la cybersécurité découvrent des menaces et opérations cybercriminelles dissimulées dans les arcanes de ce service clé qui hébergent bien des projets open-source et structure les chaînes DevOps de bien des entreprises. Mais, selon Check Point, c’est la première fois qu’un schéma aussi organisé et à grande échelle est déniché sur GitHub.
Stargazer Goblin a mis en place un système où il crée des centaines de dépôts en utilisant trois mille faux comptes ‘ghost’. Ces comptes interconnectent, forkent et s’abonnent à des dépôts malveillants pour augmenter leur légitimité apparente et les rendre plus susceptibles d’apparaître dans la section tendance de GitHub.
Les dépôts utilisent des noms de projets et des tags ciblant des intérêts spécifiques comme la cryptomonnaie, les jeux vidéo et les réseaux sociaux. Les comptes ‘ghost’ sont assignés à des rôles distincts : un groupe sert le modèle de phishing, un autre fournit l’image de phishing, et un troisième délivre le malware, ce qui donne au schéma global un certain niveau de résilience opérationnelle.
Check Point estime que les cybercriminels ont gagné plus de 100 000 dollars depuis le lancement du service. Bien que GitHub ait pris des mesures contre de nombreux dépôts malveillants, en supprimant plus de 1 500 de ces comptes depuis mai 2024, plus de 200 sont encore actuellement actifs et continuent de distribuer des malwares.