พบบัญชีผู้ใช้งานกว่า 3,000 บัญชี บน GitHub ถูกใช้ในการปล่อยมัลแวร์

GitHub นั้นเป็นแหล่งในการแลกเปลี่ยนโค้ด, ซอฟท์แวร์, แอปพลิเคชัน และเครื่องมือพัฒนาต่าง ๆ มากมาย เป็นแหล่งชุมนุมของเหล่านักพัฒนา แน่นอนว่าต้องมีแฮกเกอร์อยู่ด้วย และแฮกเกอร์นั้นก็ได้นำเอาบริการของทาง GitHub มาใช้ในทางไม่ดีเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Bleeping Computer ได้มีรายงานถึงการตรวจพบพฤติกรรมการใช้ GitHub ในกิจกรรมที่มีวัตถุประสงค์ร้ายโดยทีมแฮกเกอร์ Stargazer Goblin ด้วยการใช้ศักยภาพ และความน่าเชื่อถือของคลังเก็บข้อมูลดิจิทัล (Repository หรือ Repo) ของทาง GitHub ร่วมกับเว็บไซต์ที่ถูกสร้างขึ้นด้วย Wordpress ที่ทางทีมแฮกมาได้ นำมาใช้ประกอบกันเป็นเครือข่ายสำหรับการปล่อยมัลแวร์ในชื่อว่า Stargazers Ghost Network ซึ่งเครือข่ายดังกล่าวนั้น มีการตรวจพบว่าถูกใช้ปล่อยมัลแวร์สำหรับการขโมยข้อมูล (Infostealer) มากมายหลายชนิด ไม่ว่าจะเป็น RedLine, Lumma Stealer, Rhadamanthys, RisePro, และ Atlantida Stealer 

ซึ่งสำหรับการทำงานของเครือข่ายดังกล่าวนั้น ทาง Check Point Research ทีมวิจัยผู้เชี่ยวชาญด้านภัยไซเบอร์ ได้ทำการตรวจสอบถึงการทำงานของเครือข่ายนี้ แล้วทำการสรุปออกมาได้ว่า กลุ่มแฮกเกอร์จะทำการสร้าง “แอคหลุม” จำนวนนับพันบัญชี (จำนวนในปัจจุบันที่ตรวจจับได้คือ 3,000 บัญชี) เพื่อนำมาใช้ในกิจกรรมการสร้างความน่าเชื่อถือให้กับตัว “Repo” ที่เก็บไฟล์มัลแวร์ที่มีการแอบอ้างเป็นโปรเจ็คต่าง ๆ ไม่ว่าจะเป็น โซเชียลมีเดีย, คริปโตเคอร์เรนซี, และวิดีโอเกมส์ ซึ่งถ้า Repo เหล่านี้มีผู้ที่เข้ามา Subscribes, Fork, หรือทำการให้ดาว ก็จะดูมีความน่าเชื่อถือและแนบเนียน ไม่ต่างไปจากมุขเดียวกันที่แฮกเกอร์ใช้ตามแอปสโตร์ หรือบริการปลอมต่าง ๆ ซึ่งหลายตัวนั้นไปไกลจนขึ้นติดเทรนด์ของ GitHub Trending เลยทีเดียว

ภาพจาก https://www.bleepingcomputer.com/news/security/over-3-000-github-accounts-used-by-malware-distribution-service/

นอกจากการสร้างความน่าเชื่อถือแล้ว “แอคหลุม” หลาย ๆ ตัวก็จะถูกมอบหมายหน้าที่ให้ทำงานต่างกันออกไป เช่น บางตัวทำ Phishing Template, บางตัวทำรูปสำหรับการ Phishing, และ บางตัวก็สำหรับการลงมัลแวร์โดยตรง ซึ่งตัวหลังนั้นจะเสี่ยงถูกแบนจากทาง GitHub มากสุดถ้าถูกจับได้ โดยจะถูกแบนทั้งตัวบัญชี Repo และ ผลงานที่เกี่ยวข้องทั้งหมด ทำให้ทางทีมต้องกระจายความเสี่ยง โดยการไปอัปเดตลิงก์ที่นำไปสู่มัลแวร์บนบัญชีที่ใช้ Repo สำหรับการ Phishing แทน นอกจากนั้นแล้วยังมีการตรวจพบว่า ทางทีมแฮกเกอร์มีการสร้างวิดีโอสำหรับฝึกสอนการใช้งานซอฟต์แวร์บน Youtube แต่ทำการใส่ลิงก์ไปยังที่เก็บมัลแวร์แทนอีกด้วย

เท่านั้นยังไม่พอ ทางทีม Stargazer Goblin ยังได้มีการทำห่วงโซ่การโจมตี (Attacking Chain) ร่วมกันระหว่าง GitHub Repo และ เว็บไซต์ Wordpress เช่นในกรณีของ Atlantidia Stealer ที่หลังจากแฮกเกอร์หลอกให้เหยื่อคลิกบน GitHub Repo ของทีม แล้วเหยื่อจะถูกเปลี่ยนเป้าหมาย (Redirect) ไปยังเว็บไซต์ Wordpress ที่เก็บมัลแวร์ไว้อยู่ หลอกให้เหยื่อดาวน์โหลดไฟล์ .Zip ที่ภายในมีไฟล์ HTA (HTML Application) ที่มาพร้อมกับ VBScript อันจะนำไปสู่การรัน PowerShell 2 รอบ และทำการดาวน์โหลดไฟล์มัลแวร์ตัวจริงลงมาในที่สุด (ซึ่งทางทีมวิจัยไม่ได้ระบุว่าไฟล์มัลแวร์ตัวจริงนั้นถูกเก็บไว้บน GitHub Repo หรือบนเซิร์ฟเวอร์ควบคุมมัลแวร์ [C2 หรือ Command and Control])

ภาพจาก https://www.bleepingcomputer.com/news/security/over-3-000-github-accounts-used-by-malware-distribution-service/

จากข่าวจะเห็นได้ว่า สิ่งที่เหมือนจะมีความน่าเชื่อถือจากการที่มีผู้เชียร์ให้ดาว ลงรีวิวจำนวนมาก อาจจะไม่ใช่สิ่งที่น่าเชื่อถือจริง และเป็นแผนหนึ่งของเหล่าแฮกเกอร์และพวกสแกมเมอร์ ดังนั้น การจะดาวน์โหลดหรือใช้งานบริการใดอาจจำเป็นที่จะต้องสอดส่องหาสิ่งผิดปกติที่อยู่ภายในนั้นเพื่อที่จะได้หลีกเลี่ยงภัยอันตรายที่อาจเกิดขึ้นได้