Em uma sofisticada operação de cibercrime, um agente de ameaças batizado de Stargazer Goblin desenvolveu uma rede de mais de 3.000 contas falsas no GitHub, a conhecida plataforma de hospedagem de código, com o intuito de propagar malware e realizar atividades ilícitas que renderam cerca de US$ 100.000 em lucros apenas no último ano.
A rede, denominada “Stargazers Ghost Network”, emprega milhares de repositórios no GitHub para distribuir links perigosos e variedades de malware, incluindo Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine. As contas falsas também são usadas para realizar ações como estrelar, bifurcar, monitorar e assinar repositórios mal-intencionados para simular credibilidade e legitimidade no ambiente online.
Em um complexo sistema de distribuição identificado como DaaS (distribuição como serviço), o Stargazer Goblin organizou as contas em diferentes categorias, cada qual responsável por um aspecto distinto do esquema de disseminação de malware. Isso foi concebido para conferir resiliência à infraestrutura e dificultar as tentativas do GitHub de remover o conteúdo malicioso.
Esse modelo operacional intrincado inclui perfis focados em repositórios de phishing, outros que fornecem imagens para esses repositórios e aqueles que carregam o malware propriamente dito, geralmente sob a forma de arquivos protegidos por senha disfarçados como softwares crackeados ou cheats para jogos.
Quando uma das contas é detectada e banida, a rede se adapta rapidamente, atualizando repositórios de phishing com novos links maliciosos, permitindo que a operação continue com mínima interrupção. Além de interações que buscam conferir autenticidade aos repositórios maliciosos, há indícios de que algumas contas da rede foram previamente comprometidas, tendo suas credenciais potencialmente obtidas por meio de malware especializado em roubo de dados.
Pesquisadores da Check Point revelaram táticas usadas na campanha, como um repositório do GitHub que redireciona para um script PHP em um site WordPress, e em sequência entrega um arquivo HTML (HTA) para executar o Atlantida Stealer via script do PowerShell. A descoberta também indica que o Stargazer Goblin não se limita ao GitHub, operando contas falsas em outros serviços como Discord, Facebook, Instagram, X e YouTube.
Esta atividade suspeita ocorre paralelamente a outro ataque em curso, onde desenvolvedores são alvo de e-mails de phishing disfarçados de oportunidades de emprego no GitHub, levando à autorização de aplicativos OAuth maliciosos que deletam repositórios e exigem pagamento para sua restauração.
Tais ocorrências destacam vulnerabilidades críticas nas práticas de segurança no GitHub e reforçam a necessidade de vigilância constante por parte dos desenvolvedores e usuários da plataforma. A disseminação do malware através de DaaS criados por grupos como o Stargazer Goblin se aproveita da confiabilidade do GitHub, revelando a complexidade e o risco crescente das ameaças cibernéticas na atualidade.
