GitHub에서 멀웨어를 유포하는 3,000개의 “유령 계정”

3,000 “ghost accounts” on GitHub spreading malware

과거에는 사이버 범죄자들이 암호화된 스크립트나 악성 실행 파일을 통해 GitHub에 직접 악성 코드를 배포하곤 했습니다. 그러나 최근 들어 공격자들이 새롭게 사용하는 공격 기법은 바로 "유령 계정"을 통해 악성 코드를 유포하는 것입니다.

In the past, cyber criminals directly distributed malware on GitHub using encrypted scripting code or malicious executables. But now threat actors are turning to a new tactic to spread malware: creating ghost accounts.

매우 효과적인 멀웨어 공격

A highly effective malware campaign

최근 Check Point Research는 최소 1년 이상 GitHub에서 악성 코드를 유포해 온 새로운 배포 서비스 네트워크인 Stargazers Ghost Network를 밝혀냈습니다. 이 계정들은 일반적인 활동도 함께 수행하기 때문에 사용자는 이들이 공격 행위를 하고 있다는 사실을 눈치채지 못했습니다.

이 유령 계정들은 YouTube, Twitch, Instagram에서 팔로워를 늘리려는 사용자를 타깃으로 하여, Discord 채널을 통해 GitHub 저장소로 연결되는 악성 링크를 배포했습니다. 해당 링크는 별표가 매겨지고 검증된 콘텐츠로 연결되어 있어, 다른 사용자들은 이를 신뢰할 수 있는 저장소로 오인하게 됩니다. 그러나 Check Point 연구원들은 이 계정들이 의심스럽다는 점을 높은 별표 수에서 포착했습니다.

“짧은 기간 동안의 모니터링을 통해, 우리는 '유령' 활동이 이루어지고 있는 2,200개 이상의 악성 저장소를 발견했습니다. 2024년 1월경 진행된 캠페인에서는 사용자 자격 증명, 암호화폐 지갑, 그리고 기타 개인 식별 정보(PII)를 탈취하는 새로운 악성 코드 패밀리인 Atlantida stealer가 배포되었습니다. 이 캠페인은 매우 효과적이어서, 4일도 안 되어 1,300명 이상의 피해자가 Atlantida stealer에 감염되었습니다.”라고 Check Point Research의 Antonis Terefos는 보고서에서 밝혔습니다. 

Stargazers Ghost Network는 세 개의 GitHub 계정이 협력하여 GitHub의 탐지를 피하는 방식으로 운영됩니다. 공격은 위협 행위자가 외부 저장소 릴리스에 README.md 파일을 첨부하고, 이 파일에 피싱 다운로드 링크를 포함시키면서 시작됩니다. 하나의 계정은 피싱 저장소 템플릿을 제공하고, 다른 계정은 피싱 이미지 템플릿을 제공합니다. 세 번째 계정은 암호로 보호된 아카이브에 포함된 악성 코드를 릴리스로 제공하는데, 이는 때때로 탐지되어 GitHub에 의해 금지되기도 합니다. 그러나 이 경우, 위협 행위자는 첫 번째 계정에서 새로운 링크로 공격을 재개합니다.

Check Point Research recently exposed a new distribution-as-a-service (DaaS) network, referred to as the Stargazers Ghost Network, that has been spreading malware on GitHub for at least a year. Because the accounts perform typical activities as well, users did not realize that the accounts were performing malicious activities.

By targeting users who wanted to increase their followers on YouTube, Twitch and Instagram, the ghost accounts distributed malicious links through Discord channels to the GitHub repositories. Because the malicious links go to content that is starred and verified, other users assume that the repositories are legitimate. However, the high number of stars is what tipped off Check Point researchers that the accounts were suspicious.

“In a short period of monitoring, we discovered more than 2,200 malicious repositories where ‘ghost’ activities were occurring. During a campaign that took place around January 2024, the network distributed Atlantida stealer, a new malware family that steals user credentials and cryptocurrency wallets along with other personally identifiable information (PII). This campaign was highly effective, as in less than four days, more than 1,300 victims were infected with Atlantida stealer,” wrote Antonis Terefos in the Check Point Research report.

By using three GitHub accounts working together, Stargazers Ghost Network manages to avoid detection by GitHub. The attack begins when a threat actor attaches a README.md file containing a phishing download link to an external repository’s release. One account serves the phishing repository template, while another account provides the phishing image template. The third account then serves the malware as a password-protected archive in a release, which is sometimes where the attack is detected, and then the third account is banned by GitHub. If that happens, then the threat actor starts the attack again with a new link in the first account.

다크 웹에서의 수익 창출

Dark web payouts

조사 중, Terefos는 Stargazers Ghost Network의 또 다른 운영 측면을 발견했습니다. 이 네트워크는 유령 계정을 이용해 다크 웹에서 수익을 창출하고 있었습니다. Check Point는 2024년 5월 중순부터 6월 중순까지의 악성 활동을 통해 Stargazers Ghost Network가 약 8,000달러의 수익을 올린 것으로 추정하며, 이 네트워크의 전체 수익은 약 10만 달러에 이를 것으로 보고 있습니다.

2023년 7월 8일, Terefos와 그의 팀은 Stargazers Ghost Network가 다크 웹에서 배너 광고를 통해 자신들의 서비스를 홍보하고 있는 것을 발견했습니다. 사이버 범죄자들은 GitHub 계정 및 저장소의 별표, 팔로우, 포크, 감시 등 다양한 서비스를 제공하기 위해 유령 계정을 "대여"할 수 있었습니다. 이러한 서비스의 가격은 100개의 계정을 별표하는 데 10달러, 신뢰도가 높은 "오래된" 저장소를 가진 계정을 제공하는 데 2달러 등으로 책정되었습니다. 배너 광고 외에도, 이 네트워크는 일반적인 마케팅 전략인 할인 혜택도 제공했습니다. Stargazers Ghost Network에서 500달러 이상을 소비한 위협 행위자는 추가 할인을 받을 수 있었습니다.

As part of the investigation, Terefos also discovered another part of the scheme — using the ghost accounts to make money on the dark web. CheckPoint estimates that malicious activity between mid-May and mid-June 2024 earned the Stargazers Ghost Network approximately $8,000. Over its entire lifespan, Check Point estimates the scheme brought in around $100,000.

On July 8, 2023, Terefos’s team discovered that the Stargazers Ghost Network had taken out a banner advertisement on the dark web. Cyber criminals could “hire” the ghost account for a wide range of services on GitHub, including starring, following, forking and watching both accounts and repositories. The prices for these services varied, such as $10 for starring 100 accounts and $2 to provide a trusted account with an “aged” repository. In addition to ad banners, the cyber criminals also used another typical marketing tactic: discounting. Threat actors who spend over $500 with Stargazers Ghost Network can get a discount on the services.

GitHub의 대응

GitHub takes action

3,000개의 유령 계정을 확인한 후, GitHub는 악성 코드 확산을 막기 위해 신속한 조치를 취했습니다. GitHub의 보안 운영 부사장인 Alexis Wales는 Wired와의 인터뷰에서 "우리는 GitHub의 허용 가능한 사용 정책에 따라 사용자 계정을 비활성화했습니다. 이 정책은 불법적인 공격이나 악성 코드 캠페인을 지원하는 콘텐츠 게시를 금지하고 있습니다."라며, "우리는 이러한 정책을 위반하는 콘텐츠와 계정을 탐지, 분석, 제거하는 전담 팀을 운영하고 있습니다."라고 설명했습니다.

그러나 Check Point의 연구원들은 Stargazer Goblin이라는 그룹이 이 네트워크를 조직하고 있으며, 그들의 활동이 이제 막 시작되었을 뿐이라고 보고 있습니다. 보고서에 따르면, 이 유령 계정들은 GitHub뿐만 아니라 YouTube, Discord, Instagram, Facebook 등 다른 주요 플랫폼에서도 활동 중인 것으로 나타났습니다. 이러한 채널들은 게시물, 저장소, 동영상, 트윗 등을 통해 악성 코드와 링크를 배포하는 데 사용될 수 있어, Check Point는 이 계정들이 GitHub에서와 유사한 방식으로 운영되고 있을 가능성이 높다고 보고 있습니다. 이는 새로운 전술의 서막에 불과할 수 있습니다.

"앞으로 유령 계정은 텍스트, 이미지, 동영상 등 더 다양한 콘텐츠를 생성하기 위해 인공지능(AI) 모델을 활용할 가능성이 큽니다. 타겟 사용자의 응답을 반영한 이러한 AI 기반 계정은 표준화된 템플릿을 넘어서, 실제 사용자와의 상호작용을 바탕으로 맞춤형 피싱 자료를 더욱 효과적으로 홍보할 수 있습니다. 새로운 악성 코드 배포 시대가 열리고 있으며, 이러한 운영 방식이 점점 더 일반화되면서 합법적인 콘텐츠와 악성 자료를 구분하는 일이 한층 어려워질 것입니다."라고 Check Point 보고서는 결론지었습니다.

After learning about the 3,000 ghost accounts, GitHub took action to stop the spread of malware. “We disabled user accounts in accordance with GitHub’s Acceptable Use Policies, which prohibit posting content that directly supports unlawful active attack or malware campaigns that are causing technical harms,” Alexis Wales, Vice President of Security Operations at GitHub, told Wired. “We have teams dedicated to detecting, analyzing and removing content and accounts that violate these policies.”

However, Check Point researchers believe that they have just uncovered the beginning of the operations for Stargazer Goblin, which is the group organizing the network. The report explains that they think the universe of ghost accounts operates across many other platforms, including YouTube, Discord, Instagram and Facebook. Because these channels can also be used to distribute links and malware through posts, repositories, videos and tweets, Check Point thinks that these accounts are operating like the GitHub scheme, meaning that this is likely just the beginning of a new tactic.

“Future ghost accounts could potentially utilize artificial intelligence (AI) models to generate more targeted and diverse content, from text to images and videos. By considering targeted users’ replies, these AI-driven accounts could promote phishing material not only through standardized templates but also through customized responses tailored to real users’ needs and interactions. A new era of malware distribution is here, where we expect these types of operations to occur more frequently, making it increasingly difficult to distinguish legitimate content from malicious material,” concluded the Check Point report.

https://securityintelligence.com/news/3000-ghost-accounts-github-malware/

cyber criminal | GitHub | Malware | Malware Encryption | Risk Management