Para peneliti keamanan dari Check Point telah menemukan bahwa lebih dari 3.000 akun GitHub digunakan untuk mendistribusikan malware dan tautan berbahaya. Jaringan akun ini dibuat oleh aktor ancaman yang dikenal sebagai Stargazer Goblin, dan mereka telah menjalankan operasi ini sejak Agustus 2022.

Apa yang Terjadi?

Stargazer Goblin menggunakan jaringan akun GitHub ini untuk menjalankan layanan yang disebut distribution-as-a-service (DaaS). Melalui layanan ini, mereka menarik korban ke repositori phishing—tempat di mana kode berbahaya dan tautan ke situs eksternal yang berbahaya disimpan. Beberapa malware yang didistribusikan termasuk Atlantida Stealer, Lumma Stealer, Rhadamanthys, RisePro, dan RedLine.

Bagaimana Jaringan Ini Bekerja?

Akun-akun GitHub dalam jaringan ini berfungsi secara terorganisir untuk menjalankan berbagai tugas, seperti:

• Membuat repositori phishing yang mengandung tautan unduhan berbahaya.
• Membintangi dan menyukai tautan berbahaya agar terlihat sah.
• Menggunakan otomatisasi untuk membuat templat phishing yang menargetkan berbagai platform sosial.

Cara Kerja Serangan

1. Phishing Repositories: Akun-akun ini membuat repositori yang berisi tautan unduhan ke situs eksternal atau arsip yang dilindungi kata sandi yang menyembunyikan malware.
2. Tautan Berbahaya: Tautan unduhan ini sering kali dialihkan ke beberapa akun GitHub lainnya yang memiliki tugas spesifik dalam proses distribusi malware.
3. Fleksibilitas dan Ketahanan: Jika satu akun atau repositori terdeteksi dan ditangguhkan oleh GitHub, akun lain segera memperbarui tautan unduhan sehingga operasi tetap berjalan lancar.

Dampak Finansial

Sejak Juli 2023, Stargazer Goblin mulai mengiklankan layanan DaaS ini di forum-forum bawah tanah. Hingga sekarang, mereka diperkirakan telah menghasilkan lebih dari $100.000. Dalam periode antara pertengahan Mei hingga pertengahan Juni 2024 saja, mereka menghasilkan sekitar $8.000.

Strategi yang Digunakan

Akun-akun dalam jaringan ini diberi peran berbeda:

• Akun Repositori Phishing: Menghosting tautan unduhan berbahaya.
• Akun Commit: Melakukan commit ke repositori phishing.
• Akun Rilis: Membuat dan memperbarui arsip berbahaya.
• Akun Stargazer: Membintangi dan menyukai repositori dan rilis berbahaya.

Skala Serangan

Dalam dua kampanye yang berbeda, jaringan ini berhasil menginfeksi lebih dari 1.300 korban dengan Atlantida Stealer dalam waktu kurang dari empat hari, dan lebih dari 1.000 orang dengan Rhadamanthys dalam dua minggu.

Tindakan GitHub

Sejak Mei 2024, GitHub telah menghapus sekitar 1.559 repositori dan akun GitHub yang terkait dengan jaringan ini. Namun, Stargazer Goblin terus beradaptasi dengan memperbarui tautan unduhan dan menjaga operasinya tetap berjalan.

Kesimpulan

Check Point memperingatkan bahwa kita mungkin memasuki era baru dalam penyebaran malware, di mana akun-akun palsu ini dapat secara organik mempromosikan dan mendistribusikan tautan berbahaya di berbagai platform. Dengan dukungan kecerdasan buatan, kampanye masa depan mungkin akan menjadi lebih canggih dan sulit dibedakan dari konten yang sah. Para pengguna internet perlu semakin waspada terhadap tautan dan repositori yang mencurigakan untuk menghindari menjadi korban serangan semacam ini.